Hvordan kan Google Analytics blive brugt af hackere til at stjæle data?

Google Analytics giver hackere mulighed for at sende data fra hjemmesider til deres egne databaser, ofte uset og uden eksplicit brugersamtykke. Dette sker gennem den diskrete overførsel af data via parametre eller referencenavnet.

Hvilke sikkerhedshuller kan udnyttes via Google Analytics?

Hacksere kan udnytte sårbarheder i websteders programlogik, såsom SQL-injektion eller cross-site scripting, til at fange data uden at blive opdaget. Dette lykkes ofte uden, at brugeren bemærker det, på grund af den usynlige dataoverførsel via Google Analytics.

Kan Google Analytics misbruges til cyberkriminalitet?

Ja, Google Analytics kan bruges af hackere til at stjæle følsomme data uset, da dataoverførsler ofte er tilladt, og amerikanske myndigheder får adgang.

Hvilke alternativer til Google Analytics findes der til analyse af webstedstrafik?

Der er gratis alternativer, såsom Matomo, der ikke bruger cookiedialoger og dermed er GDPR-konforme. Google Search Console kan også bruges til at analysere søgeord.

Hvorfor bør man ikke bruge Google Analytics som sit første valg?

Da Google Analytics med Cookie-popups forringer brugeroplevelsen og bliver betragtet som problematisk af databeskyttelsesmyndigheder som den franske, bør virksomheder i første omgang prøve mere simple, gratis metoder.

Sichere KI, digitaler Datenschutz & Website-Compliance

Google Analytics gør ikke kun mange andre noget, men skader potentielt hver enkelt hjemmeside. Med Google Analytics er datakrælning nemmere end nogensinde før, da det tillader at sende data til hackerens datamængder.

Indledning

Cyber-kriminalitet er en voksende økonomisk sektor. Den, som kan stjæle kreditkortsdatabaser eller andre sensitiv data, kan bruge disse data til at tjene penge på dem. Med Google Analytics, det populære analyseredskab fra Google, bliver data-stjælingen endnu lettere.

For at forstå det, hjælper en blik bag kulisserne. En cyberramp mod en hjemmeside følger ofte dette mønster:

En skadelig logik i et program bliver smuglet på hjemmesiden
Skadelig software læser data fra besøgende på hjemmesiden, f.eks. fra formulærer
De medbragte data bliver sendt til en egen server for at blive udnyttet der.

Den tredje af disse trin opfører sig ofte til at mislykkes, fordi browser eller lokale brandvægge blokerer mange dataoverførsler. Med Google Analytics kan dette problem næsten helt fjernes for hackeren.

Metoder til at stjæle data

En almindelig metode til at stjæle data fra en tredje part er at lokke ofret på en præparerede hjemmeside. Ideelt set handler det om en hjemmeside, som ofret kender. Angreb, der efterligner kendte hjemmesider eller baserer sig på selv-høstede hjemmesider, skal ikke videregås her.

Skulle I ikke også give mit adgangskode eller kreditkortoplysninger i en online-butik, hvis jeg kender butikken, har tillid til den og bliver bedt om det?

Men hvordan forbereder man en hjemmeside fra en tredje part sådan, at den kan sende data til ukendte?

Dertil benytter sig hackere Schwachstellen i programlogikken på forside (brugerens visning af hjemmesiden) eller baggrund (software, der kører på serveren) ud. Kendte repræsentanter for angrebsmetoder er:

SQL-injektion
Cross Side Scripting (XSS) / JavaScript Injection / HTML Injection
Sikkerhedsbrister i server-koder / Backdoors
Sesjonhævelse

Eksempelvis kan en JavaScript-snipsel på en hjemmeside indsættes ved hjælp af en forberedt link. Ofrene modtager den forberedte link, og når de klikker på ham, bliver hjemmesiden opkaldet, som de kender. Desuden udføres en skadelig kode på hjemmesiden uden at ofrene bemærker det.

Hvis det lykkes at smugle en skadelig kode på en hjemmeside, er rekorderen klar til brug. Han skal nu kun blot optage og sende de opnåede data videre til kriminellen.

Sådan fungerer hacking med Google Analytics

Det nærmeste var at sende de erobrede data til sit Google Analytics Konto

Deleffekterne af Google Analytics set fra hackere er enorm. Domænet google-analytics.com er selv om det ofte åbner for datatransfer. På en hjemmeside, der bruger Google Analytics, overføres data til et andet analytics-konto uden at det falder en amatør opmærksom på. Selv professionelle skal være meget specifikke, hvis de skal opdage en eksploit.

Stående data-pakke, der sendes ved et Google Analytics tracking-event.

Med Google Analytics kan alle data sendes til en egen database. Dertil bruger man f.eks. parametre eller referer URL'en, hvor værdier kan føjes uden at opdage det. Det er let at kryptere eller kode dataene før de bliver sendt med Analytics. Således er datastrømmen svær at spore.

Det at sende data over Google Analytics fungerer også i det såkaldte Consent Mode fra Google. Hvis brugeren endnu ikke har givet sin samtykke, sender Google Analytics alligevel et såkaldt Ping til Googles servere. Ping'en er lig en normal tracking-aktivitet. Den store forskel er dog, at dataene ikke lander i Analytics' datapool. Udviklerne kan bruge dette som udvej mod hacker, ved at sætte parameteren gcs til et passende værdi, hvis siden aktiverer Consent Mode.

Google Analytics er den perfekte våbenkasse for hacker til at stjæle uskyldigt følsomme data.
Den nuværende virkelighed.

Hvis hackeren vil vide, om hans angreb var lykkedes, logger han bare ind i sit Google Analytics konto og tager et blik på dashboardet for at se, hvilke data er blevet optaget. Med hjælp af eksportfunktionen og Analytics Reporting API kan data endda massevis og meget behageligt hentes ud.

Da så mange hjemmesider bruger Google Analytics, er chancen for hackeren stor, at finde denne effektive og svære at opdage mekanisme til datamissbrug.

Anbefalinger

Mindre er mere. Mindre programmering betyder i gennemsnit mindre svagheder. Sikring af eksisterende programmeringskoder er vanskelig. Især grænseflader (Klient kalder Server) er følsomme. Den, der her vil eller må dykke ned, skal regne med højere omkostninger.

Uden Google Analytics er en hjemmeside sikrere end med dette værktøj. Jeg spørger mig selv regelmæssigt, hvem der kan øge sin omsætning ved hjælp af Google Analytics. Først falder det mig ind at tænke på Google. Herefter kommer større virksomheder med højt markedsbudget i min tankerække. Ved små og mellemstore firmaer falder det mig regelmæssigt svært at tro på underverdenen af pengegøren ved hjælp af Googles produkter.

Markedsføringssamtalen vil jeg ikke fortsætte her med. Nogle konstruktive samtaler med online-markedsfolk viser mig dog, at der i reglen skal være en betydelig indsats og et betydeligt kendskab samt et betydeligt budget tilbage, før Googles produkter virkelig kan lønne sig for et firma.

Online annoncering er ofte udtryk for desperasjon og/eller manglende kreativitet.
Min erfaring, der sikkert ikke gælder for alle, men for mange annoncører, synes at være tilfældet.

Man kan sikkert se, når online annoncer ikke fungerer. I modsætning til Print-annoncer, hvor man begynder at gætte efter udgivelsen. Men mange vil ikke vide, at en annoncekampagne er mislykkedes, men snarere, at kampagnen har været succesfuld. I dette sammenhæng falder der mig nogle Udprægede oversættelser over Print-annoncer, online artikler eller personlige kontakter ind, men ingen eneste hervorragende Konvertierung over online annoncer. Jeg siger det som nogen, der før indførelsen af GDPR har haft meget erfaring med Google Ads og Facebook annoncering.

Inden for Google Annoncer eller Google Analytics bruges som en Wundermiddel, bør man først prøve at bruge traditionelle, enkle og retlige samt tekniske beherskede og mest komplette gratis middel. Hvorfor ikke prøve med et Social Media Posting til en fantastisk artikel af dig selv (det bedste er ikke på Facebook eller Twitter)? Det bringer efterhånden, afhængigt af markedet, ofte flere omsætninger end de Wunderprodukter fra Google. Jeg taler her ud fra min egen erfaring, men jeg kan ikke tale for hverken marked. Regionale butikker har i hvert fald ikke brug for Google Analytics. De forstår først og fremmest ingenting om persondatabeskyttelse og de fleste af dem har ingen, der kan rådgive dem. Desuden har de for få besøgende til at det ville være værd at køre Analytics Motor rundt. Tredje gang er de uden forudsætning ikke i stand til at effektivt markedsføre sig selv online. Fjerde gang kan de bedst bruge deres tid på andre ting end at sidde og tumle sig på nettet.

Med Google Analytics bliver en hjemmeside forstyrret af det nødvendige samtykke-pop-up hele tiden. uden dette værktøj fra Google kan man endda lykkes med at undgå cookie-pop-ups. Hvilken en gave for besøgende. Så ville du som ejer af en hjemmeside også være forberedt på TTDSG, der siden 01.12.2021 gælder i Tyskland.

Nu har den franske dataskyddsmyndighed fastlagt, at Google Analytics selv med samtykke er forbudt. Grunden er, at Google ikke gør nok til at beskytte personlige oplysninger fra brugere. Amerikanske myndigheder og efterretningsvæsen kan så let læse ind og få mere at vide om dit adfærd på internettet.

Hvis man vil vide, hvor mange besøgende en hjemmeside har haft og hvad den mest populære artikel er, står der f.eks. Matomo gratis til rådighed. Det kan endda ske uden de irriterende Cookie Popups. Hvis man også ønsker at vide, hvilke søgeord besøgende har brugt for at finde hjemmesiden, bruger man Search Console, et produkt fra Google, der sjældent er tilladt at bruge uden overtrådelse af dataskydd. Sæt bedst en annoncetiltagelsesblokader på først, så Google ikke følger jer i Search Console til uendelighed.

Brancheforeningen BITMi tilbød et gratis webinær om emnet, som blev afholdt af Klaus Meffert / IT Logic GmbH.