TikTok’ta reklam vermek, genç bir pazara ulaşmaya çalışan herhangi bir şirket için bariz bir seçimdir; özellikle de Amerikalı Z kuşağının %44’ünün tatillerini planlamak için platformu kullandıklarını söyleyen bir seyahat şirketi söz konusu olduğunda bu durum geçerlidir. Ancak popüler video paylaşım platformundaki reklamlarla genç tatilcileri hedef alan bir çevrimiçi seyahat pazarı, üçüncü taraf bir iş ortağının bölgesel sitelerinden birinde bir TikTok pikselini yanlış yapılandırması nedeniyle GDPR kurallarını çiğnedi. İlgi çekici yeni bir vaka çalışması, sorunu keşfeden siber güvenlik şirketinin veri ihlalinin maliyetli bir sele dönüşmesini nasıl önlediğini ortaya koyuyor.
Örnek olay çalışmasının tamamı için burayı tıklayın.
Eve Yakın Tehlikeler
Siber saldırılar genellikle manşetlere çıkar çünkü bilgisayar korsanlığı doğal bir dikkat çekicidir. Saldırıların arkasındaki gruplar, günümüzün haydutları, sayısız kurbanı bir anonimlik maskesinin arkasından çalabilen karanlık kişiler gibi görünüyor. Bunun gibi kimliği belirsiz suçlular her zaman okuyucuların dikkatini çekecektir ve bu anlaşılabilir olsa da, aynı derecede zarar verici olabilecek daha az dramatik güvenlik risklerine de dikkat etmemiz iyi olur.
Eğer haber kaynakları hayatlarımıza yönelik en büyük tehditleri bildirmeye odaklanırsa, her haberin kalp hastalığını ve bunun nasıl önlenebileceğini kapsayacağı söylenir çünkü savaşlar ve araba kazaları gibi olaylardan çok daha fazla insanı öldürür. Siber tehditlerde de durum aynı. Büyük hack’ler bizi oturup not almaya yöneltse de, birçok ihlal ‘temizlik’ konusundaki basit, sıradan başarısızlıklardan kaynaklanıyor ve bu yeni indirilebilir örnek olay incelemesinde yer alan şirketin başına gelen de bu.
Ne oldu?
Konuya dahil olan küresel seyahat pazarının adını vermeyecek olsak da (herhangi bir utançtan kaçınmak için), sorunu yakalayan siber güvenlik şirketinin adı Reflectiz’dir. Ana ürünü, bulgularını net ve sezgisel bir gösterge panosunda sunan, yenilikçi izleme teknolojisine sahip bir platformdur. Temel olarak, kullanıcı davranışını taklit eden özel bir tarayıcı kullanarak web sitelerini tarar. iFrame’lere gömülü nesneler de dahil olmak üzere siteye bağlı her üçüncü taraf web uygulamasını veya kod parçacığını eşler; böylece herhangi bir kod şüpheli davranırsa veya yapmaması gereken bir yere veri gönderirse Reflectiz bunu fark eder ve kullanıcıyı uyarır.
Vaka çalışması, taramalarından birinin yanlış yapılandırılmış bir TikTok pikselini nasıl ortaya çıkardığını ayrıntılarıyla anlatıyor. TikTok’un 1,6 milyar kullanıcısı var, dolayısıyla adını muhtemelen duymuşsunuzdur. Eğer yapmadıysanız, gençler arasında son derece popüler olan, Çin merkezli bir video paylaşım sosyal medya platformudur. Seyahat şirketi Reflectiz’i kullanmaya başladığında, pikselin hassas kullanıcı verilerini topladığını ve doğru şekilde uygulanmadığı için TikTok’un Çin sunucularına izinleri olmadan gönderdiğini tespit etti.
Bu vakada herhangi bir kötü niyet varmış gibi görünmese de, her büyüklükteki şirket için çıkarılacak en büyük çıkarım, bunun sonucu değiştirmemesi olmalıdır. Kullanıcıların açık izni olmadan müşteri verilerini yayınlayan çevrimiçi işletmeler, GDPR gibi veri gizliliği düzenlemelerini ihlal etmeye devam edecek ve düzenleyici kurum bunlara yaptırım uygulamayı uygun görebilir.
Örnek olay çalışmasının tamamı için burayı tıklayın.
Uyumsuzluğun Maliyeti
GDPR’ye (Genel Veri Koruma Yönetmeliği) uyulmaması ciddi cezalara yol açabilir:
- Para cezaları: 20 milyon Euro’ya veya yıllık küresel cironun %4’üne kadar (hangisi daha yüksekse). Kesin miktar, ihlalin niteliğine ve kuruluşun büyüklüğüne bağlıdır.
- İtibar Hasarı: Uyumsuzluk bir kuruluşun itibarına zarar verebilir, müşteri güveninin ve potansiyel iş fırsatlarının kaybolmasına neden olabilir.
- İşlemeyi Durdurma Emirleri: Düzenleyici makamlar şirkete kişisel verileri işlemeyi durdurma emri verebilir, bu da iş operasyonlarını kesintiye uğratabilir.
- Tazminat Talepleri: ihlalden etkilenen kişiler tazminat talebinde bulunabilir.
- Artan İnceleme: Uyumlu olmayan kuruluşlar düzenleyici kurumların daha fazla ilgisini çekebilir ve denetimlere tabi tutulabilir.
- Yasal Maliyetler: iddialara veya para cezalarına karşı savunma yapmak önemli yasal masraflara neden olabilir.
Bunların hepsi biraz varsayımsal gibi görünse de, düzenleyiciler harekete geçiyor. Yakın tarihli bir örnekte, Haziran 2024’ten itibaren İsveç Veri Koruma Ajansı (IMY), Facebook Pikselini uygunsuz bir şekilde kullandığı için çevrimiçi bir eczaneye 15 milyon İsveç kronu (yaklaşık 1,45 milyon dolar) para cezası verdi. Eczane, Facebook Pixel’in Otomatik Gelişmiş Eşleştirme (AAM) ve Otomatik Etkinlikler (AE) özelliklerini “yanlışlıkla” etkinleştirdi ve bu da hassas kişisel verilerin Facebook/Meta’ya aktarılmasına neden oldu. Bu kasıtsız ihlal, 2019’dan 2021’e kadar 500.000 ila bir milyon kişiyi etkiledi.
Örnek olay çalışmasının tamamı için burayı tıklayın.
Çözüm
Seyahat şirketi örnek olay incelemesindeki ihlalin tam boyutunu bilmesek de Reflectiz’in, TikTok’un yanlış yapılandırmasını daha fazla zarar vermeden önce yakaladığını ve muhtemelen şirkete para cezaları ve itibar kaybı nedeniyle bir servet kazandırdığını biliyoruz.
Reflectiz çok güçlü olmasına rağmen kurulum gerektirmez. Tüm web ekosisteminin haritasını çıkarmak için uzaktan taramayla başlayan basit bir katılım süreci vardır. Bundan sonra tüm hassas web sayfalarını sürekli olarak izler ve herhangi bir web bileşeninin şüpheli etkinliğini tespit edip işaretler.
Çözüm, müşterilerin coğrafi konumlarını yakalama girişimleri veya kameralarını ve mikrofonlarını izinsiz kullanma girişimleri de dahil olmak üzere, müşterilerin faaliyetlerini izinleri olmadan izleyen üçüncü taraf web bileşenlerini tanımlayabiliyor. Tehlikede olan bu kadar çok şey varken hiçbir şirket, izleme pikselinin yanlış yapılandırılması gibi önlenebilir bir şeye yakalanma riskini göze alamaz.
Bu uyarıcı hikayenin tam öyküsü için vaka çalışmasının tamamını buradan indirin.