“All’inizio del 2023 è cresciuta la preoccupazione per i pixel e i tracker, che si caricano nel browser come parte della catena di fornitura del software, e vengono utilizzati dalle piattaforme di raccolta dati per raccogliere i dati degli utenti”, denuncia il rapporto sulla sicurezza informatica, condotto dalla società di sicurezza informatica Feroot Security con sede a Toronto, che ha analizzato centinaia di siti Web sanitari e ha scoperto che oltre l’86% raccoglie dati privati e li trasferisce a inserzionisti, operatori di marketing e società di social media Big Tech senza il consenso dell’utente e in violazione delle leggi sulla privacy. (trovate il link al rapporto alla fine dell’articolo)
Secondo un nuovo rapporto sulla sicurezza informatica di Feroot Security, Google, Microsoft, Facebook, TikTok e la maggior parte dei siti web medici e sanitari raccolgono e vendono illegalmente informazioni sanitarie private nonostante la repressione federale sulla pratica.
“I dati vengono poi trasferiti ai server delle società proprietarie dei pixel/tracker nell’ambito della loro attività pubblicitaria e di marketing. Le pratiche aggressive di raccolta dei dati aumentano la probabilità e/o l’effettivo trasferimento di dati sensibili, il che può causare conseguenze indesiderate, tra cui sanzioni costose e contenziosi”.
Mentre i pazienti o i consumatori navigano nei loro siti web medici preferiti o affidabili o accedono ai portali ospedalieri per accedere alle loro cartelle cliniche private, frammenti invisibili di codice HTML – chiamati “pixel di tracciamento” – incorporati nei siti web raccolgono informazioni private, ad esempio se i pazienti hanno il cancro , disfunzione erettile o sono in ritardo con la fattura ospedaliera.
Secondo il rapporto, le informazioni vengono riconfezionate e vendute per una varietà di usi, tra cui aziende che si rivolgono a singoli utenti con pubblicità su Internet.
“Questo rischio non è limitato ai soli siti web governativi; può esistere con qualsiasi sito web. Vale a dire, un visitatore, un utente o un cliente di un sito web può eliminare o bloccare un’app che non desidera – ad esempio TikTok, Facebook, Snapchat, Google, ecc. – tuttavia, i pixel/tracker dell’azienda proprietaria dell’app continuano può caricare, acquisire e trasferire dati tramite il browser dell’utente“.
La tabella F1-1 mostra la pervasività dei pixel/tracker sulle pagine web scansionate associate a ciascun sito web di tutte le società analizzate.
La Figura F1-1 mostra che Google è il collettore di dati lato client in assoluto dominante, con una percentuale di presenza del 92% sui siti web di tutti i settori studiati. Microsoft e Facebook completano la Top 3.
Rischio n. 1: violazioni e sanzioni della conformità alla privacy
Il risultato n. 2 (“Pixel/tracker sono presenti su pagine Web mission-critical che aumenta la probabilità di rischi”) ha mostrato che pixel/tracker sono presenti su pagine Web mission-critical in cui le informazioni personali sensibili immesse da un visitatore del sito Web vengono lette e trasferite. Inoltre, il risultato n. 3 (“pixel/tracker trasferiscono dati in località straniere in tutto il mondo”) ha mostrato che ciò avviene prima di ricevere il consenso esplicito del visitatore.
TikTok
TikTok è spesso presente indipendentemente dal fatto che l’app TikTok venga eliminata o meno e allo stesso modo per altre app vietate dai governi
TikTok, così come altri, utilizzano più delle app mobili sui dispositivi per raccogliere e trasferire dati sugli utenti. Altri metodi includono specificamente pixel/tracker. Poiché i pixel/tracker fanno parte del codice che viene caricato nel browser da un sito web. A scopo illustrativo, considerala una “applicazione” lato client.
Il risultato n. 5 (“pixel/tracker vengono caricati da domini vietati dal governo federale degli Stati Uniti e da vari stati degli Stati Uniti”) ha mostrato che, mentre i governi hanno vietato le app e le società che le possiedono dai dispositivi governativi, le “applicazioni” lato client (ad es. , pixel/tracker, script e/o librerie di quelle stesse società) vengono caricati anche nelle sessioni utente di quelle app e società vietate. Questi pixel/tracker possono essere caricati direttamente nell’html del sito web e in altro codice o caricati indirettamente all’interno di catene di software di terze parti.
Mentre ci si aspetterebbe che tali pixel/tracker delle aziende sicuramente non compaiano sui siti web delle agenzie dei governi che hanno vietato quegli stessi governi, la tabella R2-1 mostra che non è il caso per quelli analizzati dei governi statali degli Stati Uniti.
I dati raccolti includevano:
• Nomi utente e password
• Carta di credito e servizi bancari
• Dettagli sanitari personali
Posizioni allarmanti includevano:
• Cina, una giurisdizione sotto il controllo del Partito Comunista Cinese (PCC)
• Russia, una giurisdizione sotto il controllo dell’FSB, successore del KGB
• Data center e servizi di cloud hosting di aziende vietati dagli ordini esecutivi statali e federali.
• Data center di società di social media che estraggono dati (che vendono tutte pubblicità)
Di particolare interesse erano le pagine web mission-critical
(ad esempio, pagine Web con funzioni di accesso, creazione di account, registrazione o elaborazione di carte di credito) in cui i dati utente sensibili/privacy sarebbero più presenti (ad esempio, nomi utente, password, SSN, numeri di carte di credito, numeri di telefono, indirizzi, cartelle cliniche e altro ancora) ).
I principali risultati scoperti dall’analisi includono:
• Pixel/tracker sono comuni e abbondanti: è stata trovata una media di 13,16 pixel/tracker per sito web, tra cui Google, Microsoft, Meta (proprietario di Facebook), ByteDance (proprietario di TikTok) e Adobe tra i più comuni.
• La presenza di pixel/tracker sulle pagine Web mission-critical aumenta la probabilità di rischi: in media il 5,96% dei siti Web presentava pixel/tracker sulle pagine Web che leggono moduli di input dell’utente contenenti privacy o dati sensibili.
• I pixel/tracker trasferiscono i dati in località straniere in tutto il mondo: circa il 5% dei dati trasferiti dai pixel/tracker caricati da siti Web con sede negli Stati Uniti viene inviato al di fuori degli Stati Uniti.
• I pixel/tracker raccolgono e trasferiscono dati senza prima ottenere il consenso esplicito dei visitatori: i pixel/tracker leggono, raccolgono e trasferiscono attivamente l’input dell’utente prima di agire per consentirlo.
• I pixel/tracker vengono caricati da domini vietati dal governo federale degli Stati Uniti e da vari stati degli Stati Uniti: questi pixel/tracker includono quelli di TikTok e vengono caricati anche dai siti web di quegli stessi governi.
I rischi significativi identificati nell’analisi includono:
• Violazioni e sanzioni della conformità alla privacy: pixel/tracker che trasferiscono dati utente sulla privacy possono costituire violazioni degli standard sulla privacy (ad esempio GDPR, CCPA, PCI DSS, ecc.) e comportare possibili sanzioni.
• TikTok è spesso presente indipendentemente dal fatto che l’app TikTok venga eliminata o meno. Allo stesso modo, per altri vietati dai governi, i pixel/tracker di TikTok si caricano nelle pagine web che gestiscono dati utente mission-critical e possono raccoglierli e trasferirli.
• Danni al marchio/immagine e perdita di affari: una violazione dei dati che coinvolge dati sensibili/privacy può causare danni alla reputazione, con conseguente perdita di affari, clienti e investitori (sulla base di tali violazioni avvenute in passato).
• I pixel/tracker trasferiscono i dati nei paesi interessati: i pixel/tracker raccolgono e trasferiscono attivamente i dati dell’utente dalle pagine web caricate nel browser dell’utente dai siti web con sede negli Stati Uniti alla Cina e alla Russia.
• TikTok/Bytedance e Facebook/Meta sono problemi di rischio: pixel/tracker associati con TikTok e Facebook sono tra le prime 5 aziende che raccolgono e trasferiscono i dati degli utenti (anche da pagine Web mission-critical).
Le soluzioni preventive menzionate nel rapporto includono:
• Controlla o rimuovi pixel/tracker sospetti dal codice della tua pagina web, in particolare su pagine web mission-critical che elaborano dati utente sensibili (ad esempio, quelli per l’accesso, la creazione di account, la registrazione, l’elaborazione delle carte di credito, ecc.).
• Aggiungere al programma di gestione del rischio la catena di fornitura del software lato client (in modo da evitare che pixel/tracker arrivino su pagine web a cui non appartengono e pixel/tracker problematici entrino in qualsiasi pagina web).
• Includere la sicurezza lato client nel programma di sicurezza informatica, in particolare per considerazioni sulla sicurezza delle applicazioni Web.
Come sono stati raccolti i dati
Feroot Inspector ha raccolto dati su pixel/tracker su
un periodo di 8 settimane compreso tra gennaio e febbraio 2023:
• La ricerca ha esaminato oltre 3.675 organizzazioni con siti web unici. Di questi, 3.142 siti web sono stati analizzati in modo approfondito.
• 7 settori (compagnie aeree, e-commerce, servizi bancari e finanziari, sanità e telemedicina, governi federali e statali degli Stati Uniti).
3.675 organizzazioni
3.142 siti web
7 settori
108.836 pagine web
227 localizzatori
7.000.000 di trasferimenti di dati
• Su 108.836 pagine web uniche, comprese le pagine web mission-critical (ad esempio, quelle con funzioni di accesso, registrazione ed elaborazione delle carte di credito).
• Sono stati scoperti 227 tracker unici, compresi quelli dei social media.
• Sono stati trovati 255 domini di proprietà di 17 società bandite da ordini esecutivi negli Stati Uniti
la catena di fornitura del software lato client.
• Sono stati rilevati e analizzati più di 7.000.000 di trasferimenti di dati in uscita univoci.
• Sono stati scoperti più di 1.000.000 di script e librerie nell’ambito della catena di fornitura di software lato client delle organizzazioni valutate.
Analisi
Feroot ha analizzato i dati raccolti riguardanti pixel/tracker che raccoglievano e trasferivano dati correlati a:
• Aziende bandite note, relative applicazioni, pixel/tracker, ecc.
• Gestione della privacy e dei dati sensibili degli utenti
• Rischi aziendali e operativi noti relativi alla violazione dei dati e percentuali e distribuzioni calcolate dei risultati per i casi di interesse rilevanti.
Inoltre, Feroot ha eseguito ulteriori analisi in termini di confronti incrociati tra settori specifici, piattaforme di social media specifiche e loro combinazioni. I principali risultati, punti deboli/vulnerabilità e rischi/impatti aziendali risultanti dalle analisi sono presentati nelle pagine successive del presente rapporto.
Qu trovate il rapporto completo: https://childrenshealthdefense.org/wp-content/uploads/Beware-of-Pixels-Trackers-Feroot-Client-Side-Security-Report-March-2023.pdf
Le opinioni espresse in questo articolo sono dell’autore.
Leggi le ultime notizie su www.presskit.it
Può interessarti anche: No alla cessione dei dati sanitari: dalla Spagna parte la protesta. Ecco cosa scrivono al Ministero della Salute
Seguici su Facebook https://www.facebook.com/presskit.it
Seguici su Sfero: https://sfero.me/users/presskit-quotidiano-on-line
Seguici su Telegram https://t.me/presskit