Google Analytics nyttjar inte bara många ingenting, utan skadar potentiellt varje webbplats. Med Google Analytics är dataintrång lättare än någonsin tidigare, eftersom det möjliggör att skicka data till datamagasin av hackare.
Inledning
Cyber-kriminalitet är en växande ekonomisk sektor. Vem som helst kan kreditkortsdetaljer eller andra känsliga data stjäla och sedan använda dessa för att tjäna pengar på. Med Google Analytics, Googles populära analyseringsverktyg, blir det ännu lättare att stjäla data.
För att förstå det här, hjälper en titt bakom kulisserna. En cyberattack mot en webbplats följer ofta detta schema:
- Skadlig programkod smugglas in på webbplatsen
- Skadlig programvara läser in data från besökare på webbplatsen, till exempel från formulär
- De medföljande data skickas till en egen server för att där utnyttjas.
Den tredje av dessa stegen misslyckas i huvudsak ofta på grund av att webbläsare eller lokala brandväggar blockerar många datatransfer. Med Google Analytics kan detta problem nästan helt elimineras för hackaren.
Metoder för att stjäla data
En vanlig metod för att stjäla data från en tredje part är att locka offeret till en präparad webbplats. Idealt skulle det vara en webbplats som offeret känner till. Angrepp som bygger på efterliknande av välkända webbplatser eller baseras på själva webbplatser ska inte behandlas vidare här.
Vore ni inte villiga att också ange ditt lösenord eller din kreditkortsinformation i en online-butik, om ni känner till butiken, har förtroende för den och därmed uppmanas att göra det?
Hur förbereds en webbplats av en tredje part så att den kan skicka data till okända mottagare?
Då utnyttjar hackare Svaga punkter i programlogiken i Frontend (webbplatsens vy i webbläsaren) eller Backend (programvara som kör på servern) för att attackera. Kända företrädare för angreppsmetoder är:
- SQL-injektion
- Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
- Säkerhetsluckor i serverkod / Backdoors
- Sessionsstöld
Till exempel kan en förberedd länk användas för att införa ett JavaScript-snutt på en webbplats. Offeret får den förberedda länken skickad till sig. När offeret klickar på länken, anropas den webbplats som de är bekanta med. Dessutom körs en skadlig kod omedvetet utöver den webbplatsen via den förberedda länken.
Om man lyckas med att smyga in en skadlig kod på en webbplats är inspelaren redo att användas. Den måste bara spela upp och skicka de uppgifter som har hämtats till den brottslige personen.
Så fungerar hackning med Google Analytics
Det är naturligare att skicka de erövrade datumen till sitt Google Analytics-konto
Fördelarna med Google Analytics från hackarens synvinkel är enorma. Domänen google-analytics.com är i sig ofta fri för datatransfer. På en webbplats som använder Google Analytics sker ett datatransfer till ett annat Analytics-konto utan att det märks av den vanliga användaren. Även professionella måste titta väldigt noga för att upptäcka en exploit.
Med Google Analytics kan värdefulla data skickas till en egen datapool. Till exempel används parametrar eller refererad URL, som man kan lägga obemärkta värden till. Det är lätt att kryptera eller kodera datan innan de skickas med Analytics. Sådana dataflöden är svåra att upptäcka.
Sändandet av data via Google Analytics fungerar till och med i det som kallas Consent Mode från Google. Om användaren ännu inte har givit sitt samtycke, skickar Google Analytics ändå ett så kallat Ping till Googles servrar. Ping är lika ett normalt spårningshändelse. Skillnaden är dock att data inte hamnar i Analytics datapoolen. Utvägen för hackare är att ange parametern gcs med en lämplig värde, så länge webbplatsen aktivt använder Consent Mode.
Google Analytics är en perfekt vapen för hackare att stjäla oskyldiga känsliga data.
Den nuvarande verkligheten.
Om hackern vill veta om hans anfall var framgångsrikt, loggar han bara in på sitt Google Analytics konto och tittar i dashboardet efter vilka data som har registrerats. Med hjälp av exportfunktionen och Analytics Reporting API kan data till och med hämtas i stora mängder och mycket bekvämt.
Så många webbplatser som använder Google Analytics gör att chansen för hackaren är stor att hitta denna effektiva och svårupptäckbara mekanism för dataintrång.
Rekommendationer
Mindre är mer. Mindre programkod innebär i genomsnitt färre svagheter. Säkerställandet av befintlig kod är tidskrävande. Framför allt gränssnitt (klient anropar server) är sårbara. Vem som helst som vill eller måste gå djupare in i detta bör räkna med högre kostnader.
Ohne Google Analytics är en webbplats säkrare än med detta verktyg. Jag undrar regelbundet vem som kan öka sin omsättning med hjälp av Google Analytics. Först kommer det mig att Google. Sedan tänker jag på större företag med högt marknadsföringsbudget. När det gäller små och medelstora företag har jag svårt att tro på underverken av pengarökat genom Googles produkter.
Marknadsdiskussionen vill jag inte fortsätta här. Vissa konstruktiva samtal med online-marknadsförare visar dock att det vanligtvis krävs en betydande insats och ett betydande kunnande samt ett betydande budget för att Googles produkter ska vara värda pengarna för ett företag.
Online annonsering är ofta ett uttryck för desperations och/eller brist på kreativitet.
Min erfarenhet, som säkert inte gäller alla, men för många reklamutgivare tycks vara påfallande.
Man kan säkert se om onlineannonsen inte fungerar direkt. I stort sett i motsats till Print-annonsering, där det stora spelet börjar efter publiceringen. Många vill dock inte veta att en annonseringsåtgärd misslyckats, utan snarare att åtgärden var framgångsrik. I detta sammanhang faller det mig in att några hervorragende konverteringar över Print-annonsering, online artiklar eller personliga kontakter inträffat, men inte en enda hervorragande konvertering över online annonsering. Jag säger det som någon som tidigare hade mycket erfarenhet med Google Ads och Facebook annonsning innan GDPR infördes.
Innan Google Annons eller Google Analytics används som Wundermedel, bör man försöka med traditionella, enklare och lagligt samt tekniskt behärskbara och oftast helt kostnadsfria metoder. Hur skulle det vara att göra ett Social Media Posting till en bra inlägg av er (det bästa är inte på Facebook eller Twitter)? Detta kan ge, beroende på marknad, ofta mer försäljning än Googles Wunderprodukter. Jag talar här utifrån min egen erfarenhet, men jag kan inte representera alla marknader. Regionella affärer behöver i mitt tycke Google Analytics inte alls. För det första förstår de ingenting om dataskydd och har oftast ingen som kan ge dem råd på ett grundligt sätt. För det andra har de för få besökare, så att Google Analytics-motorn skulle kunna köra igång. För det tredje har de för lite budget för att effektivt marknadsföra sig online. För det fjärde kan de göra andra saker bättre än att surfa på nätet.
Med Google Analytics förstör man en webbplats genom det alltid nödvändiga samtyckes-fönstret. Utan detta verktyg från Google kan man till och med lyckas undvika cookie-fönster. Vilket ett under för besökarna. Såsom webbplatsägare är ni också utrustade med TTDSG, som gäller i Tyskland sedan den 01.12.2021.
Nu har den franska dataskyddsförvaltningen konstaterat att Google Analytics själv med användarens samtycke är förbjudet. Orsaken till detta är att Google inte gör tillräckligt för att skydda personuppgifterna hos användarna. Amerikanska myndigheter och underrättelsetjänster kan på så sätt lätt läsa av och få mer information om hur du beter dig på internet.
Om man vill veta hur många besökare som har besökt en webbplats och vilken artikel som är mest populär, finns det tillgång till Matomo kostnadsfritt. Det går även att göra detta utan de störande Cookie Popups. Om man dessutom vill veta vilka sökord som användarna använt för att hitta en webbplats, kan man använda Search Console, ett produkt från Google, som undantagsvis är lagligt att använda inom ramen för dataskydd. Man bör nog sätta på sig en reklamblocker innan man använder Search Console så att Google inte följer upp dig i övermått.
Branchföreningen BITMi bjöd in ett kostnadsfritt webinariet till ämnet, som hölls av Klaus Meffert/IT Logic GmbH.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
