Google Analytics не тільки нікому не допомагає, а ще й шкодить кожній вебсторінці. З допомогою Google Analytics крадіжка даних стала набагато легшою ніж раніше, бо дозволяє відправляти дані до баз даних хакерів.
Вступ
Циберзлочинство є зростаючим галуззю економіки. Хто зможе викрасти дані по кредитній картці або інші чутливі дані, зможе використовувати ці дані, щоб з них зробити прибуток. З допомогою Google Analytics, популярного інструменту аналізу від Google, крадіжка даних ще легша здійснюється.
Аби зрозуміти це, допоможе погляд за кулисами. Атака комп'ютерних мереж на вебсторінку часто відбувається згідно цього шаблону:
- На вебсайт завантажено шкідливе програмне забезпечення
- Виразна шкідлива програма читає дані відвідувачів вебсайту, наприклад із формами
- Дані, які були передані разом із цим повідомленням, будуть відправлені на власний сервер для подальшого використання.
Третій із цих кроків часто провалюється головним чином тому, що браузери або місцеві файрволи блокують багато передач даних. З допомогою Google Analytics ця проблема майже повністю може бути усунена для хакера.
Методи з викрадення даних
Є звичайний спосіб крадіжки даних від третіх осіб – це запрошувати жертву на підготовлену вебсторінку. Ідеальне місце для цього – вебсторінка, яку знає жертва. Атаки, які наслідують відомі вебсторінки або базуються на власних хостингових сторінках, тут не розглядаються далі.
Ви теж не давали б Пароль або Дані своєї кредккарди, якщо знали магазин, йому довіряли та були запрошені зробити це?
Доки вебсторінка третього боку підготовлена так, щоб вона передавала дані до невідомого?
Для цього хакери використовують Слабкості в програмній логіці у фронтенді (браузерна частина вебсторінки) або бекенді (програмне забезпечення, яке працює на сервері). Відомі представники методів атак:
- SQL Injection
- Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
- Vulnerabilities в коді серверів / Двері у безпечність
- Захист сесії
Наприклад, за допомогою підготовленого посилання можна ввести фрагмент JavaScript на вебсторінку. Віктимові відправляється підготовлений посил. Коли жертва клікає по посилу, відкривається їм знайома сторінка. Крім того, через підготовлений посилання виконуються шкідливі команди на сторінці.
Якщо вдасться вивести шкідливий код на вебсторінку, реєстратор вже готовий до роботи. Тепер йому лише потрібно записувати дані та передавати отримані дані злочинцям.
Так працює хакінг з Google Analytics
Що ближче до того, щоб відправити захоплені дані у своє Google Analytics Контактне облікове запис?
Вигоди від Google Analytics з погляду хакерів величезні. Домен google-analytics.com сам по собі часто звільнений для передачі даних. На вебсторінці, яка використовує Google Analytics, відбувається передача даних до іншого облікового запису Analytics, про що звичайний користувач не помітить навіть. І навіть фахівцям потрібно дуже добре дивитися, щоб виявити експлуатування.
З допомогою Google Analytics можна будь-які дані відправляти у власний базовий збір даних. Для цього використовують, наприклад, параметри або URL-адресу Referrer, до якої можуть бути приєднані невідкриті значення. Власне легко зашифрувати чи закодувати дані перед їх відправкою з допомогою Analytics. Така інформація про витік даних дуже важко встановити.
Відправлення даних через Google Analytics працює навіть у так званому Режимі згоди Google. Коли користувач ще не дав згоду, Google Analytics все ж таки відсилає так званий Ping на сервер Google. Ping є подібним до нормального події відслідковування. Різниця полягає в тому, що дані не потрапляють у базовий збір даних Analytics. Вихід для хакерів — встановити параметр gcs з відповідним значенням, якщо сторінка активує режим згоди.
Гуглівські аналітика – ідеальна зброя для хакерів, щоб незаконно отримати доступ до чутливих даних.
Сучасна реальність.
Може, щоб хакер знав, чи його атака була успішною, він просто ввійшов у свій обліковий запис Google Analytics і побачив на панелі управління, які дані були зареєстровані. З допомогою функції експортування та служби Analytics Reporting API дані навіть масштабно можна було отримати дуже комфортно.
Вища кількість вебсайтів використовує Google Analytics, тому шансів для хакера знайти ефективний і важко помітний механізм зловживання даних дуже високий.
Рекомендації
Менше – це більше. Менший обсяг програмного коду означає в середньому менше помилок. Захист наявних програм дуже складний. У першу чергу, інтерфейси (клієнт звертається до сервера) є найбільш уразливими. Кому потрібна глибша інформація або хто повинен її мати, тому слід очікувати вищої вартості.
Без Google Analytics вебсайт є безпечнішим ніж із цим інструментом. Я часто запитуюся хто зможе підвищити свій прибуток за допомогою Google Analytics. Першою мені спадає на думку Google. Другим я згадую більші компанії з великим рекламним бюджетом. Для mnie дуже важко віряти в чарівність збільшення грошових коштів для малих та середніх підприємств завдяки продуктам Google.
Ринокування я тут не продовжуватиму. Невелика кількість конструктивних розмов із онлайн-рекламодавцями показують мені, що звичайно досить великий зусилля та знання, а також досить великий бюджет повинні бути наявні, щоб продукти Google справді були вигідними для компанії.
Онлайн-реклама часто є виразом безнадії та/або відсутністю творчості.
Моя досвід, який, певне, не стосується всіх, але багатьом рекламодавцям здається знайомим.
Сicher можна побачити, коли онлайн реклама не працює прямо перед очима. У цілковитому протилежності до Реклама-інфармація, де починається велике здогадування після публікації. Однак багато хто не хочуть знати, що кампанія з реклами провалася, а ніщо інше, ніж те, що кампанія була успішною. У цьому контексті мені прийшли на думку деякі hervorragende Konvertierungen через Print-Werbung, онлайн статті або особисті контакти, але жодна не дуже добра конверсія через онлайн рекламу. Я кажу це як людина, яка раніше мала багато досвіду роботи з Google Ads та Facebook Werbung перед введенням GDPR.
Перед тим як використати Google Реклама або Google Analytics як Вундеркінд, треба спочатку спробувати використовувати звичайні, простіші, юридичні та технічні засоби, які майже завжди безкоштовні. Наприклад, зробіть публікацію в Соціальних мережах щодо чудового матеріалу від вас (найкраще не на Фейсбуці або Твіттері_). Це часто приносить більший прибуток ніж «Вундеркінди» Google протягом тривалого періоду часу залежно від ринку. Я говорю про власний досвід, але не можу бути представником кожного ринку. Регіональні підприємства не потребують _Google Analytics взагалі. Вони перш за все нічого не розуміють щодо захисту даних та майже ніхто не може їх добре порадити. Друге, вони мають занадто мало відвідувачів, щоб двигун аналітики працював ефективно. Третє, їм немає досить великого бюджету для ефективного інтернет-реклами. Четверте, вони можуть робити інші речі краще ніж займатися в інтернеті.
З допомогою Google Analytics вебсайт завалений необхідним вікном попередження про згоду. Без цього інструменту Google навіть можна уникнути вікна попередження щодо файлів cookie. Як щасливий випадок для відвідувачів! Таким чином, ви як власник вебсайту також будуть підготовлені до TTDSG, яке діє у Німеччині з 01 грудня 2021 року.
Між тим французька комісія з захисту даних встановила, що Google Analytics сам із згоди заборонений. Причина полягає в тому, що Google не робить досить для захисту особистих даних користувачів. Американські органи влади та спецслужби можуть легко читати та більше вивчати ваше поведінку в інтернеті.
Хто хоче знати скільки відвідувачів відвідували вебсайт та що був найпопулярнішим матеріалом, той може скористатися послугами Matomo безкоштовно. А ще навіть без тих не дуже приємних Cookie Popups. Хто хоче знати яким були запитання відвідувачів які знайшли цю вебсайт, використовує Search Console, продукт Google, який майже єдиний серед інших послуг користується відповідністю вимогам захисту даних. Увімкніть краще перед цим блокування реклами щоб Google не слідкував за вашим кроком у Search Console надмірно.
Вищий професійний союз БІТМі запропонував безкоштовне вебінарне засідання на цю тему, яке провів Klaus Meffert/IT Logic GmbH.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
