Oglašavanje na TikToku je očigledan izbor za svaku kompaniju koja pokušava doći do mladog tržišta, a posebno ako se radi o turističkoj kompaniji, s tim da 44% američkih generacija kaže da koriste platformu za planiranje odmora. Ali jedno online tržište putovanja koje je ciljalo mlade turiste s oglasima na popularnoj platformi za razmjenu videa prekršilo je GDPR pravila kada je partner treće strane pogrešno konfigurisao TikTok piksel na jednoj od svojih regionalnih stranica. Zanimljivo nova studija slučaja otkriva kako je kompanija za cyber sigurnost koja je otkrila problem spriječila da kršenje podataka postane skupa poplava.
Opasnosti u blizini kuće
Cyber napadi često dolaze na naslovne strane jer hakovanje prirodno privlači pažnju. Grupe koje stoje iza napada izgledaju kao moderni hakeri, mračne figure koje mogu opljačkati bezbroj žrtava iza maske anonimnosti. Bezlični kriminalci poput ovih uvijek će privući pažnju čitalaca, i iako je to razumljivo, bilo bi dobro da obratimo pažnju na neke od manje dramatičnih sigurnosnih rizika koji mogu biti jednako štetni.
Rečeno je da kada bi se novinske kuće fokusirale na izvještavanje o najvećim prijetnjama po naše živote, onda bi svaka priča pokrivala bolesti srca i kako ih spriječiti, jer one ubijaju višestruko više ljudi nego događaji poput ratova i saobraćajnih nesreća. Isto je i sa sajber prijetnjama. Dok nas veliki hakovi tjeraju da sjedimo i bilježimo, mnoga kršenja su uzrokovana jednostavnim, svakodnevnim kvarovima u ‘održavanju’, a to se dogodilo kompaniji koja je predstavljena u ovoj novoj studiji slučaja.
Šta se desilo?
Iako nećemo imenovati globalno tržište putovanja (da ga poštedimo neugodnosti), kompanija za cyber sigurnost koja je uhvatila problem zove se Reflectiz. Njegov glavni proizvod je platforma s nekom inovativnom tehnologijom praćenja koja svoje nalaze predstavlja na jasnoj, intuitivnoj kontrolnoj tabli. Ispod haube skenira web stranice koristeći vlasnički pretraživač koji oponaša ponašanje korisnika. On mapira svaku web aplikaciju ili djelić koda treće strane koji je povezan s web-mjestom, uključujući objekte ugrađene u iFrames , tako da ako bilo koji kod djeluje sumnjivo ili pošalje podatke negdje gdje ne bi trebao, Reflectiz primjećuje i upozorava korisnika.
Studija slučaja opisuje kako je jedno od njegovih skeniranja otkrilo pogrešno konfigurisan TikTok piksel. TikTok ima 1,6 milijardi korisnika, tako da ste vjerovatno čuli ime. Ako niste, to je platforma društvenih medija za dijeljenje videa sa sjedištem u Kini koja je izuzetno popularna među mladima. Kada je turistička kompanija počela da koristi Reflectiz, otkrila je da piksel prikuplja i šalje osetljive korisničke podatke na TikTok kineske servere bez njihove dozvole, jer nije pravilno implementiran .
Iako ne izgleda da je u ovom slučaju bilo zlonamjerne namjere, veliki zaključak za kompanije bilo koje veličine bi trebao biti da to ne mijenja ishod. Internetske kompanije koje objavljuju podatke o klijentima bez izričitog dopuštenja korisnika i dalje će kršiti propise o privatnosti podataka poput GDPR-a i regulator bi mogao smatrati prikladnim da ih sankcioniše.
Trošak neusklađenosti
Neusklađenost sa GDPR-om (the General Data Protection Regulation) može dovesti do značajnih kazni:
- Kazne: do 20 miliona eura ili 4% godišnjeg globalnog prometa, zavisno o tome šta je veće. Tačan iznos zavisi od prirode kršenja i veličine organizacije.
- Šteta reputaciji: nepoštovanje može naštetiti reputaciji organizacije, uzrokovati gubitak povjerenja kupaca i potencijalne poslovne prilike.
- Nalozi za prestanak obrade: regulatorna tijela mogu narediti kompaniji da prestane s obradom ličnih podataka, što može poremetiti poslovanje.
- Zahtjevi za naknadu štete: pojedinci pogođeni kršenjem mogu podnijeti zahtjeve za naknadu štete.
- Pojačana kontrola: organizacije koje ne poštuju pravila mogu se suočiti sa većom pažnjom regulatora i mogu biti predmet revizije.
- Pravni troškovi: odbrana od tužbi ili novčanih kazni može izazvati značajne pravne troškove.
Iako sve to može zvučati pomalo hipotetično, regulatori su poduzeli nešto. U jednom nedavnom primjeru , iz juna 2024. godine, Švedska agencija za zaštitu podataka (IMY) kaznila je internetsku apoteku sa 15 miliona švedskih kruna (otprilike 1,45 miliona dolara) zbog nepropisnog korištenja Facebook Pixela. Apoteka je “greškom” aktivirala funkcije Facebook Pixela Automatic Advanced Matching (AAM) i Automatic Events (AE), što je rezultovalo prenosom osjetljivih ličnih podataka na Facebook/Meta. Ovo nenamjerno kršenje zahvatilo je između 500.000 i milion pojedinaca od 2019. do 2021. godine.
Rešenje
Iako ne znamo tačan obim kršenja u studiji slučaja turističke kompanije, znamo da je Reflectiz uhvatio pogrešnu konfiguraciju TikTok-a prije nego što je mogla napraviti veću štetu, vjerovatno uštedjeti kompaniji bogatstvo u kaznama i gubitku reputacije.
Bez obzira na to što je toliko moćan, Reflectiz ne zahtijeva instalaciju. Postoji samo jednostavan proces ugradnje koji počinje daljinskim skeniranjem za mapiranje cijelog web ekosistema. Nakon toga kontinuirano prati sve osjetljive web stranice te će otkriti i označiti svaku sumnjivu aktivnost bilo koje web komponente.
Rješenje može indefikovati web komponente trećih strana koje prate aktivnosti korisnika bez njihovog pristanka, uključujući pokušaje snimanja njihovih geografskih lokacija ili korištenje njihovih kamera i mikrofona bez pristanka. Sa toliko toga u igri, nijedna kompanija ne može sebi priuštiti da rizikuje da bude uhvaćena nečim tako što se može izbjeći kao što je pogrešna konfiguracija piksela za praćenje.
Izvor:The Hacker News
