Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Google Analytics jako skuteczne narzędzie dla cyberprzestępców do kradzieży danych

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Google Analytics nie tylko nikomu nie służy, ale szkodzi każdej stronie internetowej. Z Google Analytics kradzież danych jest łatwiejsza niż kiedykolwiek, ponieważ umożliwia wysyłanie danych do puli danych hackerów.

Wprowadzenie

Cyber-kryminalność jest rosnącym gałęzią gospodarki. Kto dane z karty kredytowej lub inne sensowne dane ukradnie, może wykorzystać te dane do osiągnięcia zysku. Z pomocą Google Analytics, popularnego narzędzia analitycznego Google, łatwiej jest ukraść dane.

Aby zrozumieć to, warto rzucić okiem na tło. Atak cybernetyczny na stronę internetową często przebiega według schematu:

  1. Na stronę została wprowadzona szkodliwa logika programu
  2. Oprogramowanie szkodliwe czyta dane odwiedzających stronę internetową, np. z formularzy
  3. Dane przesłane razem są wysyłane na własny serwer, aby zostać wykorzystane tam.

Trzeci z tych kroków często zawodzi głównie dlatego, że przeglądarki lub lokalne firewalły blokują wiele transferów danych. Z Google Analytics można w ten sposób prawie całkowicie wyeliminować to problem.

Metody kradzieży danych

Jedną z powszechnych metod kradzieży danych od innych jest sprowadzenie ofiary na przygotowaną stronę internetową. Jeśli możliwe, powinna to być strona internetowa znana ofierze. Ataki, które kopiują znane strony lub opierają się na własnie hostowanych stronach, nie będą tu dalej omawiane.

Czy nie również swoje hasło lub dane karty kredytowej podałby w sklepie internetowym, jeśli go zna i zaufasz mu oraz gdybyście do tego proszeni byli?

Jednak jak przygotować stronę internetową kogoś innego tak, aby mogła wysyłać dane do nieznanego adresu?

Dzięki temu hackerzy wykorzystują słabości w logice programu w frontendzie (widoku strony internetowej w przeglądarce) lub backendzie (uruchamianej na serwerze aplikacji), wykorzystując znane metody ataku:

  • Atak SQL
  • Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
  • Pęknięcia w kodach serwerowych / Backdoors
  • Złamanie sesji

Na przykład za pomocą przygotowanego linku można wprowadzić na stronę internetową skrypt JavaScript. Ofierze przesyłany jest przygotowany link. Klikając na niego, ofiara odwiedza znanych sobie strony internetowej. Ponadto, bez jej wiedzy, na stronie zostaje wykonany szkodliwy kod.

Jeśli uda się umieścić na stronie internetowej szkodliwy kod, rekorder jest gotowy do działania. Teraz musi jedynie nagrywać i przesyłać zdobyte dane do przestępców.

Tak działa hacking z użyciem Google Analytics

Czyż nie jest najłatwiejszym sposobem wysyłanie zdobytych danych do swojego Google Analytics Konto?

Wielkie korzyści z Google Analytics dla hackerów są ogromne. Domena google-analytics.com jest sama w sobie często otwarta na transfer danych. Na stronie, która używa Google Analytics, przesyłanie danych do innego konta Analytics nie jest widoczne nawet dla początkujących. Nawet profesjonaliści musieliby bardzo uważnie przyjrzeć się temu, aby odnaleźć Exploit.

Pakiet danych standardowych, który jest wysyłany przy zdarzeniu śledzenia Google Analytics.

Z pomocą Google Analytics można przesłać dowolne dane do własnego puli danych. Do tego używa się np. parametrów lub adresu Referrer, do którego wartości mogą być nieświadomie dodawane. Jest to łatwe, aby zanim dane zostaną wysłane z Analytics, zostały zaszyfrowane lub zakodowane. Tak więc strumienie danych są trudne do ustalenia.

Wysyłanie danych za pomocą Google Analytics działa nawet w tzw. Mode Konsentu od Google. Jeśli użytkownik nie wyraził jeszcze zgody, Google Analytics wysyła jednak tak zwane "ping" do serwerów Google. Ping jest podobne do zwykłego zdarzenia trackowania. Różnica polega na tym, że dane nie trafiają do puli danych w Analytics. Wyjściem dla hackerów jest ustawienie parametru gcs na odpowiednią wartość, jeśli strona korzysta z aktywnego Mode Konsentu.

Google Analytics jest idealnym narzędziem dla hackerów do kradzieży wrażliwych danych bezpośrednio z witryny.

Obecna rzeczywistość.

Jeśli hacker chce wiedzieć, czy jego atak był skuteczny, loguje się po prostu do swojego konta Google Analytics i sprawdza na pulpicie danych, które zostały zarejestrowane. Z funkcją eksportu i Analytics Reporting API dane można nawet wyeksportować w masach i bardzo komfortowo.

Ponieważ tak wiele stron internetowych korzysta z Google Analytics, szansa, że hacker znajdzie skuteczny i trudno dostrzeżalny mechanizm do wykorzystania danych jest wysoka.

Zalecenia

Mniej jest więcej. Mniej kodu programu oznacza średnio mniej wad. Zabezpieczenie istniejącego kodu programu jest kosztowne, zwłaszcza interfejsy (klient dzwoni do serwera) są podatne. Kto tu chce lub musi wejść głębiej, powinien liczyć się z wyższymi kosztami.

Bez Google Analytics strona internetowa jest bezpieczniejsza niż z tym narzędziem. Często się zastanawiam, kto może poprzez Google Analytics zwiększyć swoje obroty. Po pierwsze przypadam na Google. Po drugie mniejsze firmy z dużym budżetem reklamowym wchodzą w moją myśl. W przypadku małych i średnich firm często mam problem ze wzięciem wiary w cuda zwiększania się pieniędzy za pomocą produktów Google.

Dyskusja marketingowa nie będę tu kontynuować. Niektóre konstruktywne rozmowy z online marketerami pokazują mi jednak, że w większości przypadków wymagany jest znaczny nakład pracy i znaczną wiedza oraz znaczny budżet, aby produkty Google faktycznie przynosiły korzyści firmie.

Reklama online jest często wyrazem bezradności i/lub braku kreatywności.

Moja doświadczenie, które nie dotyczy wszystkich, ale wydaje się dotykać wielu reklamodawców.

Sicher można zobaczyć w reklamie online, kiedy nie działa. Ganz przeciwnie do reklamy drukowanej, gdzie duże spekulacje rozpoczynają się po publikacji. Jednak wielu nie chce wiedzieć, że kampania reklamowa nie powiodła się, ale raczej, że była skuteczna. W tym kontekście przypominają mi się wspaniałe konwersje z reklamy drukowanej, artykułów online lub kontaktów osobistych, ale żadna wspaniała konwersja z reklam online. Mówię to jako ktoś, kto przed wprowadzeniem RODO mógł mieć dużą doświadczenie z Google Ads i Facebook Advertising.

Przed zastosowaniem Reklamy Google lub Google Analytics jako środka cudownego, należy najpierw spróbować sięgnąć po bardziej tradycyjne, prostsze prawne oraz technicznie kontrolowanei często całkowicie darmowe środki. Jakby nie być może zrobić Social Media Posting do świetnego wpisu Waszego (najlepiej nie na Facebookulub Twitterze_)? To przynosi w dłuższym okresie, w zależności od rynku, często więcej przychodu niż cuda Google. Mówię tutaj z własnego doświadczenia, ale nie mogę mówić za każdy rynek. Małe sklepy regionalne potrzebują _Google Analytics raczej nie. Po pierwsze nic nie rozumieją z ochrony danych i mają najczęściej nikogo, kto ich solidnie doradzałby. Po drugie mają zbyt mało odwiedzających, aby silnik analizy mógł działać w pełni. Po trzecie mają zbyt mały budżet, aby skutecznie reklamować się online. Po czwarte mogą robić co innego lepiej niż popisywać się na Internecie.

Z pomocą Google Analytics strona internetowa jest zdezorganizowana przez niezbędne okno dialogowe o wyrażeniu zgody. Bez tego narzędzia Google można nawet uniknąć pop-upów dotyczących plików cookie. Co za łaskę dla odwiedzających. W ten sposób jako administrator strony internetowej są Państwo również przygotowani do TTDSG, które obowiązuje w Niemczech od 01.12.2021.

Obecnie francuska komisja ds. ochrony danych ustaliła, że Google Analytics sam z siebie jest zabroniony. Powód to fakt, iż Google nie robi wystarczająco dużo, aby chronić dane osobowe użytkowników. Amerykańskie władze i służby specjalne mogą łatwo przeczytać i dowiedzieć się więcej o Twoim zachowaniu na Internetach.

Kto chce wiedzieć, ile odwiedzających odwiedziło stronę i jaki jest najpopularniejszy artykuł, może skorzystać z darmowej wersji programu Matomo. Można nawet to zrobić bez nieprzyjemnych Cookie Popups. Kto jeszcze chce poznać słowa kluczowe, za pomocą których odwiedzający znaleźli stronę, korzysta z Search Console, produktu Google. Jest to wyjątkowo przypadki, w których dane są przetwarzane zgodnie z prawem ochrony danych osobowych. Lepiej jest wcześniej włączyć blokowanie reklam, aby Google nie śledził what za pomocą Search Console ponad miarę.

Związek branżowy BITMi zaprosił na bezpłatne webinarium na ten temat, które odbyło się przy udziale Klaus Meffert/IT Logic GmbH.

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Lokalizacja serwera i jej znaczenie dla RODO