Google Analytics non serve a molti e dann addirittura nuoce a ogni sito web. Con Google Analytics il furto di dati è più facile che mai, in quanto consente l'invio dei dati ai pool di hacker.
Introduzione
La cyber-criminalità è un settore in rapido sviluppo. Chi rubasse i dati delle carte di credito o altri dati sensibili, può utilizzare questi dati per trarre profitto. Con Google Analytics, lo strumento di analisi popolare di Google, rubare i dati è ancora più facile.
Per capire meglio, è utile dare un'occhiata dietro le quinte. Una cyberattacco a una pagina web segue spesso questo schema:
- Sulla pagina web viene introdotto un codice di programmazione dannoso
- Il software danneggiante legge i dati degli utenti che visitano il sito web, ad esempio da formulari
- I dati trasmessi vengono inviati a un proprio server per essere sfruttati lì.
Il terzo di questi passaggi fallisce spesso soprattutto perché i browser o le firewall locali bloccano molti trasferimenti dati. Con Google Analytics questo problema può essere quasi completamente eliminato per il hacker.
Metodi per rubare dati
Una comune metodologia per rubare i dati di un terzo è far cadere la vittima in una sito web preparato. Ideale sarebbe che si tratti di un sito web noto alla vittima. Attacchi che riproducono siti web noti o basati su siti web auto-hosted non saranno trattati ulteriormente qui.
Non avreste anche fornito il vostro Passwort o i vostri dati di carta di credito in un negozio online, se conoscevate il negozio, gli fidavate e vi veniva chiesto?
Ma come viene preparata una pagina web di un terzo per farle trasmettere dati a sconosciuti?
Per questo, gli hacker utilizzano Debolezze nella logica del programma nel frontend (visuale del browser della pagina web) o backend (software eseguito sul server) per attaccare. Conosciuti rappresentanti di metodi d'attacco sono:
- SQL Injection
- Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
- Vulnerabilità di sicurezza nei codici dei server / backdoor
- Intrusione di sessione
Ad esempio, tramite un link preparato, può essere introdotto un pezzo di codice JavaScript su una pagina web. Al destinatario viene inviato il link preparato. Se l'utente clicca sul link, viene chiamata la pagina web nota all'utente. Inoltre, tramite il link preparato, viene eseguito in modo non visibile un codice dannoso sulla pagina web.
Se riesce a introdurre un codice danneggente in un sito web, il registratore è pronto all'uso. Adesso deve solo registrare e inviare i dati raccolti al criminale.
Così funziona il hacking con Google Analytics
Che cosa c'è di più naturale che inviare i dati raccolti al proprio Google Analytics Konto?
I benefici di Google Analytics da parte degli hacker sono enormi. La domanda google-analytics.com è in sé spesso abilitata per i trasferimenti dei dati. Su un sito web che utilizza Google Analytics, il trasferimento dei dati a un altro account di analisi non si nota neanche ai dilettanti. Anche gli esperti dovrebbero guardare con grande attenzione per individuare un exploit.
Con Google Analytics possono essere inviate qualsiasi dati in una propria piscina di dati. Per farlo si utilizza ad esempio i parametri o l'URL del referrer, a cui possono essere aggiunti valori senza destare sospetti. È facile, prima dell'invio con Analytics, cifrare o codificare i dati. Così sono solo difficili da individuare i flussi di dati.
Il invio di dati tramite Google Analytics funziona anche nel cosiddetto Consent Mode di Google. Se l'utente non ha ancora dato il consenso, Google Analytics invia comunque un cosiddetto Ping ai server di Google. Il Ping è uguale a un evento di tracciamento normale. La differenza è che i dati non finiscono nel pool dei dati di Analytics. L'uscita per gli hacker è quello di impostare il parametro gcs con un valore adeguato, a patto che la pagina web utilizzi l'opzione Consent Mode.
Google Analytics è l'arma ideale per gli hacker per rubare dati sensibili in modo non sospetto.
La realtà attuale.
Il hacker vuole sapere se il suo attacco è stato riuscito, si logga semplicemente nel suo account Google Analytics e controlla nel dashboard quali dati sono stati registrati. Con la funzione di esportazione e l' API Reporting Analytics possono essere prelevate anche in massa e con grande comodità i dati.
Poiché molte pagine web utilizzano Google Analytics, la possibilità per il hacker di trovare questo meccanismo efficace e difficile da scoprire per l'abuso dei dati è alta.
Consigli
Menare è più. Meno codice di programma significa in media meno vulnerabilità. La protezione dei codici esistenti è onerosa, soprattutto le interfacce (client richiama server) sono vulnerabili. Chi vuole o deve approfondire questo argomento dovrebbe contare con maggiori spese.
Senza Google Analytics una pagina web è più sicura che con questo strumento. Mi chiedo regolarmente chi può aumentare i propri ricavi grazie a Google Analytics. Per prima cosa mi viene in mente Google. In secondo luogo, mi vengono in mente grandi aziende con un grande budget pubblicitario. È difficile per me credere al miracolo della crescita dei ricavi attraverso i prodotti di Google per le piccole e medie imprese.
La discussione di marketing non la voglio proseguire qui. Alcuni discorsi costruttivi con i marketer online mi mostrano però che, di solito, è necessario un grande impegno e una grande conoscenza, oltre a un grande budget, affinché i prodotti Google si rendano utili per un'azienda.
La pubblicità online è spesso espressione di disperazione e/o mancanza di creatività.
La mia esperienza, che non è sicuramente valida per tutti, ma sembra verificarsi per molti pubblicitari.
Sicuramente si può vedere subito se un'online pubblicità non funziona. Al contrario della pubblicità a stampa, dove inizia il grande indovinello dopo la pubblicazione. Tuttavia, molti non vogliono sapere che una misura di pubblicità è fallita, ma piuttosto che l'operazione sia stata un successo. In questo contesto mi vengono in mente alcune eccellenti conversioni attraverso la pubblicità a stampa, articoli online o contatti personali, ma nessuna singola eccellente conversione attraverso la pubblicità online. Lo dico come qualcuno che prima dell'introduzione del GDPR ha avuto molta esperienza con Google Ads e Facebook Pubblicità.
Prima di utilizzare Annunci Google o Google Analytics come rimedio miracoloso, si dovrebbe provare a utilizzare metodi più tradizionali, semplici, giuridici e tecnicamente gestibili e spesso completamente gratuiti. Come farebbe ad esempio un Pubblico Social con un contributo fantastico da parte sua (il meglio sarebbe di non pubblicarlo su Facebook o Twitter)? Ciò porta a lungo termine, a seconda del mercato, spesso più ricavi che i prodotti miracolosi di Google. Sto parlando qui della mia esperienza personale, ma non posso parlare per tutti i mercati. Negozio locali hanno bisogno di Google Analytics in ogni caso. Non capiscono infatti nulla di protezione dei dati e spesso non hanno qualcuno che li consigli con fondamento. In secondo luogo, hanno troppo pochi visitatori per far funzionare l'analizzatore. Terzo, hanno un budget troppo basso per pubblicizzare efficacemente online. Quarto possono fare meglio altre cose che non stare a girare nel web.
Con Google Analytics una pagina web viene rovinata dal sempre necessario popup di autorizzazione. Senza questo strumento di Google si riesce anche a fare a meno dei pop-up sui cookie. Che benedizione per i visitatori. Quindi, come gestori di un sito web, sareste inoltre equipaggiati per il TTDSG, che è entrato in vigore in Germania dal 01.12.2021.
La Commissione francese per la protezione dei dati personali ha stabilito che Google Analytics è da considerarsi di fatto vietato, anche con l'autorizzazione degli utenti. La ragione è che Google non fa abbastanza per proteggere adeguatamente i dati personali degli utenti, consentendo così alle autorità e ai servizi segreti americani di poter facilmente leggere e conoscere ulteriori informazioni sul loro comportamento online.
Chi vuole sapere quanti visitatori hanno visitato il sito web e quale è l'articolo più popolare, può utilizzare gratuitamente Matomo. Anche questo avviene senza i fastidiosi Cookie Popups. Chi vuole inoltre conoscere le parole chiave con cui gli utenti hanno trovato il sito web, utilizza la Search Console, un prodotto di Google che è eccezionalmente conforme alle norme sulla protezione dei dati. È meglio attivare un blocco pubblicitario prima per evitare che Google segua i propri movimenti in eccesso nella Search Console.
L'associazione di categoria BITMi ha organizzato un webinar gratuito su questo tema, tenuto da Klaus Meffert/IT Logic GmbH.
Messaggi chiave
Google Analytics può essere usato da hacker per rubare dati perché permette di inviare informazioni raccolte sul sito web a un account di analisi controllato da loro.
Google Analytics può essere usato da hacker per rubare dati sensibili in modo nascosto.
È meglio utilizzare metodi tradizionali e gratuiti per promuovere il proprio business, piuttosto che affidarsi a strumenti online come Google Ads, che possono violare la privacy dei dati.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
