Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Google Analytics als effectief hulpmiddel voor cybercrime-datalekken

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Google Analytics doet niet alleen niets voor veel mensen, maar schaadt potentieel elke website. Met Google Analytics is datalekken gemakkelijker dan ooit tevoren, want het maakt het mogelijk om gegevens naar data-pools van hackers te sturen.

Inleiding

Cyber-crime is een groeiende economische sector. Wie creditcardgegevens of andere gevoelige gegevens kan stelen, kan deze gegevens gebruiken om er winst uit te slepen. Met Google Analytics, het populaire analysehulpmiddel van Google, wordt de data-diefstal nog gemakkelijker.

Om dat te begrijpen, helpt een kijkje achter de schermen. Een cyberaanval op een website volgt vaak dit schema:

  1. Een schadelijke programmeerfout wordt op de website gestoken
  2. De schadelijke software leest gegevens van bezoekers van de website, bijvoorbeeld uit formulieren
  3. De meegezonden gegevens worden naar een eigen server gestuurd om daar uitgeput te worden.

De derde van deze stappen faalt voornamelijk vaak omdat browsers of lokale firewalls veel gegevensoverdrachten blokkeren. Met Google Analytics kan dit probleem voor de hacker bijna volledig worden opgelost.

Methode om data te stelen

Een gangbare methode om data van een derde te stelen is het slachtoffer op een geprepareerde website te lokken. Ideaal gezien handelt het zich om een door het slachtoffer bekende website. Aanvallen die bekende websites nabouwen of de op zelf gehoste websites baseren, worden hier niet verder beschouwd.

Zou u niet ook uw wachtwoord of creditcardgegevens in een online winkel opgeven als u de winkel kent, hem vertrouwt en daarom wordt gevraagd?

Maar hoe wordt een website van een derde zo voorbereid dat ze data naar onbekende kan sturen?

Da gebruiken hackers Slechthorens in de programmeertaal in het frontend (de browserweergave van de website) of backend (op de server lopende software) uit. Bekende vertegenwoordigers van aanvalsmethoden zijn:

  • SQL Injection
  • Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
  • Veiligheidslekken in servercodes / backdoors
  • Sessie-inbraak

Bijvoorbeeld kan met behulp van een voorbereide link een JavaScript-snippet op een website worden ingesmokkeld. Het slachtoffer wordt de voorbereide link gestuurd. Klikt het slachtoffer op de link, wordt de hem bekende website opgeroepen. Daarnaast wordt onopgemerkt een schadelijk script uitgevoerd op de website.

Als het mogelijk is om een schadelijk programma op een website te smokkelen, is de recorder klaar voor gebruik. Hij moet nu alleen nog opnemen en de verkregen gegevens naar de crimineel doorsturen.

Zo werkt hacking met Google Analytics

Wat ligt dichterbij dan de gestolen data naar zijn Google Analytics account te sturen?

De voordelen van Google Analytics vanuit het perspectief van hackers zijn enorm. De domeinnaam google-analytics.com is zelfs voor gegevensoverdrachten vaak vrijgegeven. Op een website die Google Analytics gebruikt, valt de overdracht van gegevens naar een ander analytics-account niet op bij een amateur. Zelf professionals zouden al heel specifiek moeten kijken om een exploit te ontdekken.

Standaardgegevenspakket dat bij een Google Analytics tracking event wordt verzonden.

Met Google Analytics kunnen elke gegevens naar een eigen database gestuurd worden. Daarvoor gebruikt men bijvoorbeeld parameters of de Referrer URL, waarop onopvallend waarden aangehakt kunnen worden. Het is geen moeilijkheid om de gegevens voor verzending met Analytics te versleutelen of te coderen. Zo zijn de datastromen slechts moeizaam vast te stellen.

Het versturen van gegevens via Google Analytics werkt zelfs in het zogenoemde Consent Mode van Google. Als de gebruiker nog niet heeft ingestemd, stuurt Google Analytics toch een zogenaamd Ping naar de Google-servers. Het Ping is eveneens een normaal tracking-event. De verschillende is echter dat de gegevens niet in het Analytics-gegevensbestand belanden. De uitweg voor hackers is om de parameter gcs met een geschikte waarde te bepalen, mits de website het Consent Mode actief gebruikt.

Google Analytics is de perfecte wapen voor hackers om onschuldig gevoelige data te stelen.

De huidige werkelijkheid.

Wilt de hacker weten of zijn aanval succesvol what, logt hij zich gewoon in bij zijn Google Analytics account en kijkt in het dashboard naar welke gegevens zijn opgenomen werden. Met de exportfunctie en de Analytics Reporting API kunnen gegevens zelfs massaal en zeer comfortabel worden afgetapt.

Er zijn zoveel websites die Google Analytics gebruiken, dat de kans groot is dat een hacker deze effectieve en moeilijk te ontdekken methode voor misbruik van gegevens vindt.

Raden

Minder is meer. Minder programmeercode betekent gemiddeld gezien minder zwakke plekken. De beveiliging van bestaande programmeercodes is arbeidsintensief. Vooral interfaces (client roept server) zijn kwetsbaar. Wie hier dieper in wil duiken of moet, moet rekening houden met hogere kosten.

Ohne Google Analytics is een website veiliger dan met dit hulpmiddel. Ik vraag me regelmatig af wie zijn omzet kan doen stijgen dankzij Google Analytics. Als eerste valt mij Google in. Als tweede komen grotere bedrijven met een hoog reclamebudget bij mij in de buurt. Bij kleine en middelgrote ondernemingen valt het me regelmatig moeilijk om te geloven dat er sprake is van wonderen die geld doen opleveren dankzij Google-producten.

De Marketing-Diskussie wil ik hier niet verder voortzetten. Enkele constructieve gesprekken met online marketeers laten zien dat er gewoonlijk een aanzienlijke inspanning en een aanzienlijk kennisniveau alsook een aanzienlijk budget nodig is, om Google-producten echt rendabel te maken voor een bedrijf.

Online reclame is vaak uitdrukking van wanhoop en/of gebrek aan creativiteit.

Mijn ervaring, die niet voor iedereen maar voor veel reclame-uitgevers zal gelden.

Seker kun je bij online reclame direct zien of het niet werkt. Ganz im Gegensatz tot Print-reclame, waar het grote gokken begint na de publicatie. Allerdings willen veel mensen niet weten dat een reclame-actie is mislukt, maar dat de actie succesvol what. In dit verband vallen me enkele uitstekende omzettingen

Ganzen Artikel jetzt über kostenfreien Dr. DSGVO Newsletter lesen.
Weitere Extras für Abonnenten:
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
Schon Abonnent? Link im Newsletter anklicken & diese Seite auffrischen.
Newsletter abonnieren
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Artificiële intelligentie voor de interpretatie van juridische teksten