Web siteleriniz hassas verileri mi sızdırıyor? Yeni araştırmalar, üçüncü taraf uygulamaların %45’inin kullanıcı bilgilerine uygun yetkilendirme olmadan eriştiğini ve Perakende’deki risk maruziyetlerinin %53’ünün izleme araçlarının aşırı kullanımından kaynaklandığını ortaya koyuyor. Bu gizli tehditleri ve riskleri nasıl ortaya çıkaracağınızı ve azaltacağınızı öğrenin; raporun tamamını buradan indirin.
Web görünürlüğü yönetimi uzmanı Reflectiz tarafından yapılan yeni araştırma, birçok sektördeki kuruluşların kendilerini gereksiz yere maruz bıraktığı çok sayıda web sitesi güvenlik açığı hakkında çeşitli endişe verici bulguları ortaya koyuyor.
Örneğin, rapordaki öne çıkan istatistiklerden biri şu: Üçüncü taraf uygulamaların %45’i hassas kullanıcı bilgilerine iyi bir neden olmadan erişiyor. Üçüncü taraf uygulamalar pazarlama ve işlevsellik açısından gerekli olsa da, hepsinin siber suçluların aradığı türden kişisel ve finansal kullanıcı bilgilerine erişmesi gerekmiyor. Uygulamaların buna erişimini bilinmesi gerekenler esasına göre sınırlamak daha güvenlidir.
Rapor için Reflectiz, her sektördeki en iyi 100 web sitesinden (site ziyareti sayısına göre) kendi özel verilerini topladı; bu nedenle, bu kadar büyük bir örneklemdeki tüm üçüncü taraf uygulamaların yarısına yakınının hassas kullanıcı verileri topladığı gerçeği sürpriz olarak gelmelerine gerek olmadığında.
Bu uygulamanın bu kadar yaygın olduğunun farkına varılması, birçok web sitesi sahibinin, web ekosistemlerinde başka ne gibi sürprizlerin gizlendiğini ve web’deki görünürlük ayak izlerinin gerçekte ne kadar büyük olduğunu merak etmesine neden olacaktır. Herhangi bir sektördeki sahiplerin bu rapordan çıkarabileceği bir şey varsa, o da kendilerine ait beklenmedik çözülmemiş güvenlik açıklarına sahip olmalarının neredeyse garanti olduğudur. (Aşağıdaki tablo da güçlü bir şekilde bunu yapacaklarını gösteriyor…)
Hassas Verilerin Açığa Çıkması
Rapordan alınan aşağıdaki grafik, hassas kullanıcı verilerine erişebilen uygulamalar söz konusu olduğunda sektörler arasında farklılıklar olduğunu gösteriyor. Bunu akılda tutarak, Eğlence ve Çevrimiçi Perakende sektörlerinde çalışan şirketler, uygulamalarının ne kadarının gereksiz yere hassas verilere eriştiğine ve web’deki görünürlüğünü artırdığına daha fazla dikkat etmek isteyebilir.
Web’e maruz kalma terimine aşina değilseniz, Gartner tarafından modern web sitelerinin düzinelerce temel üçüncü taraf uygulamasına, CDN depolarına ve izlemeye yardımcı olan açık kaynak araçlara bağlandıkları için karşı karşıya kaldıkları risklerin çeşitliliğini tanımlamak için türetilmiştir. ve işlevsellik görevleri. Her biri saldırı yüzeyinin boyutunu artırır ve kötü niyetli aktörler için potansiyel bir hedeftir; ancak web sitesi sahipleri bu bağlantılı varlıkları kullanmaktan kaçınamasalar da her birini daha güvenli hale getirmek için adımlar atabilirler. Üçüncü taraf uygulamaların gereksiz yere kullanıcıların hassas kişisel, mali ve sağlık bilgilerine erişmediğini kontrol etmek, hızlı bir kazanç elde etmek için iyi bir başlangıç noktasıdır, ancak rapor başka birçok noktayı da ortaya koyuyor.
Örneğin, uygulamanın popülerliğine bir risk faktörü olarak bakıyor:
Daha popüler uygulamaların daha güvenli olduğu genel olarak kabul edilmektedir. Bu, bir uygulamanın uzun süredir ortalıkta olması ve büyük bir kullanıcı tabanı geliştirmesi durumunda kullanıcı topluluklarının ve güvenlik profesyonellerinin uygulamanın itibarı hakkında doğru bir sonuca ulaşacağı fikrine dayanmaktadır. Bunun sağlam olup olmadığını ve geliştiricilerinin modern kodlama uygulamalarını kullanma, iyileştirme güncellemeleri yayınlama ve hataları hızlı bir şekilde düzeltme konusunda güvenilir olup olmayacağını bilecekler. Daha az popüler olan uygulamaların ihmal edilme olasılığı daha yüksektir ve güvenliği ihlal edilme riski daha yüksektir, bu nedenle kişisel kullanıcı verilerine erişim konusunda bu uygulamalara güvenilmemelidir. Bu temelde, popüler bir uygulamanın dün ortaya çıkan bir uygulamadan daha az riskli olduğu görülüyor.
Yukarıdaki grafik şunu gösteriyor:
- Eğlence ve Konaklama sektörü web siteleri ortalama ikiden fazla popüler olmayan uygulamayı entegre ediyor.
- Çevrimiçi Perakende ve Eğlence bunlardan yaklaşık birini içerir.
Sahipler bu uygulamaların güvenli olduğunu belirlemedilerse, bunları devre dışı bırakmaları ve bunu yapana kadar alternatifleri kullanmaları en iyisi olacaktır. Bunun gibi basit adımları atmak, genel web görünürlük puanlarını azaltacaktır.
Takip Teknolojileri
Bununla birlikte, köklü üçüncü taraf uygulamalar bile, aşağıdaki grafikte gösterildiği gibi, özellikle izleme uygulamaları olmak üzere bir kuruluşun web’de görünürlük düzeyini artırabilir:
Örneğin Facebook ve TikTok piksellerinin yanlış yapılandırıldıktan sonra özel kullanıcı bilgilerini topladığı biliniyor. Araştırmanın bu ve diğer izleme teknolojilerinin çeşitli endüstri web sitelerindeki yaygınlığını kapsamasının nedeni budur, ancak bununla ilgili (ve onu bilgilendiren Reflectiz veri toplama çalışmasıyla ilgili) ilginç bir şey, çok sayıda izleyicinin veya pikselin dağıtıldığı gerçeğidir. mutlaka resmin tamamını ortaya çıkarmaz.
Örneğin, aşağıdaki tabloya bakıldığında, her biri ortalama 12 takipçiye sahip olduğundan, yayıncılık sektörü web sitelerinin kullanıcı gizliliği açısından en büyük riski oluşturduğu görülebilir. Her biri altıdan az takipçiye sahip olan sağlık hizmetleri web sitelerine göre kötü niyetli aktörlere iki kat daha fazla veri çalma fırsatı sunuyor gibi görünseler de dikkate alınması gereken daha fazla faktör var.
Her ne kadar bu bulgular yayıncıları gizlilik riskleri nedeniyle izleme teknolojileri kullanımlarını gözden geçirmeye sevk etse de, bu piksellerin nerede ve kim tarafından dağıtıldığını sormak için aşağıdaki tabloyu da bir ipucu olarak almalıdırlar. Rapor yalnızca potansiyel olarak riske açık uygulamaları ortaya çıkarmakla kalmıyor, aynı zamanda işletmeleri bağlamın önemini takdir etmeye teşvik ediyor. Bu durumda bağlam ne yapıldığını ve bunu hangi departmanın yaptığını içerir:
Web’e Maruz Kalma Durumu 2025, pazarlama ve dijital departmanların, ödeme iFrame’lerindeki pikselleri sebepsiz yere takip etmek gibi riskleri teşvik etme olasılığının daha yüksek olduğunu tespit etti. Bu, doğası gereği statik resimlerle dolu bir sayfada piksel çalıştırmaktan daha tehlikeli bir bağlamdır çünkü kötü niyetli aktörler tarafından değiştirilirse kullanıcı ödeme verilerini çalma şansı daha yüksektir. (Aynı zamanda kötü niyetli aktörlerin saldırılarına daha fazla maruz kalabilecek bir sağlık hizmeti web sitesinden daha riskli bir bağlam da olabilir.) Bu nedenle, genel web görünürlüğünü azaltmak isteyen bir yayıncılık işletmesi, pazarlama departmanındaki personel için en iyi uygulama eğitimine öncelik vermelidir.
Sonuç olarak
Raporda pek çok ilginç bilgi ortaya çıkıyor: Eğlence sektörü web siteleri, örneğin Finans sektörü sitelerine göre neredeyse iki kat daha fazla kötü amaçlı etkinlikle karşılaşıyor. Eğitim sektörü siteleri, genel içerik dağıtım ağlarına aşırı güvenmeleri nedeniyle yüksek riske maruz kalmaktadır. Bu tür içgörüler biriktikçe, farklı sektörlerdeki şirketlerin web’de görünürlüğünü azaltmak isteyen şirketlerin herkese uyan tek boyutlu bir yaklaşımı benimseyemeyecekleri açıkça ortaya çıkıyor. Onları etkileyen risk faktörlerinin bağlamı, bunlara verilecek tepkileri şekillendirecektir.
Rapor, her sektörün dinamik olarak değişen risk değişkenlerinden oluşan bir manzarayla karşı karşıya olduğunu ve bunları eyleme geçirilebilir önceliklere dönüştürme ihtiyacının, Reflectiz’i Pozlama Derecelendirmesi adı verilen yenilikçi bir teknolojiye öncülük etmeye iten şeyin olduğunu ortaya koyuyor. Milyonlarca web sitesini tarayarak topladığı çok sayıda veri noktasını, her risk faktörünü bağlam içinde dikkate alarak analiz eder, genel bir risk düzeyi oluşturmak için bunları bir araya getirir ve bunu ek iyileştirmelerle birlikte A’dan F’ye basit bir not olarak ifade eder. tavsiye. Her kuruluşun güvenlik önceliklerini belirlemenin, dikkatlerini en çok ihtiyaç duyulan yere odaklamanın ve performanslarını sektördeki benzerleriyle karşılaştırmanın anlaşılması kolay bir yoludur.
Araştırma raporunun tamamını buradan indirin.