Tags GTM não gerenciadas se tornam um pesadelo de segurança
![main](https://i3.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyVfDmhiAFvAH5cPQidpzfmC1FIbCrxprqe1jJaXDeag2EEL6x-Efq6VdfHevck8JQkOoTB4epzhS8AQkXGGuTRNncB0Tqj5u-CeUOxrohqx__4QfoU36ae5TEvsk75lywhEbIY5BgAlOm_jDYTRtbsnNZ0mgRND4CVnorEd7cCBeshdilxyQ9LlGWiwM/s728-rw-e365/main.png?w=780&resize=780,470&ssl=1)
![Pesadelo de segurança Pesadelo de segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyVfDmhiAFvAH5cPQidpzfmC1FIbCrxprqe1jJaXDeag2EEL6x-Efq6VdfHevck8JQkOoTB4epzhS8AQkXGGuTRNncB0Tqj5u-CeUOxrohqx__4QfoU36ae5TEvsk75lywhEbIY5BgAlOm_jDYTRtbsnNZ0mgRND4CVnorEd7cCBeshdilxyQ9LlGWiwM/s728-rw-e365/main.png)
Suas tags estão realmente seguras com o Gerenciador de tags do Google? Se você está pensando que usar GTM significa que suas tags e pixels de rastreamento serão gerenciado com segurança, talvez seja hora de pensar novamente. Neste artigo, veremos como um vendedor de alto valor que faz negócios em todos os continentes perdeu o controle quando se esqueceu de que não pode permitir que tags fiquem sem gerenciamento ou sejam mal configuradas.
Leia o estudo de caso completo aqui.
O Gerenciador de tags do Google economiza tempo e dinheiro dos proprietários de websites. Sua interface visible permite anexar tags de rastreamento a seus websites e modificá-los conforme necessário, sem a necessidade de ligar para um desenvolvedor todas as vezes. Essas tags reúnem os dados de advertising and marketing e análise que impulsionam o crescimento, e o GTM as torna mais fáceis de gerenciar, mas com regras rígidas em torno da privacidade dos dados a serem consideradas, você não pode confiar totalmente nelas; precisa de supervisão ativa.
O vendedor de ingressos
Um caso concreto que recentemente tomámos conhecimento envolve uma empresa world que vende bilhetes para eventos ao vivo. Nas operações globais é importante estabelecer quem tem a responsabilidade geral por uma função específica, mas, neste caso, isso estava faltando. Numa cultura onde as linhas de responsabilidade não são claras, não é surpreendente que uma equipa de advertising and marketing terceirize algo a uma empresa externa porque viu isso como uma preocupação de segurança que poderia descarregar, em vez de uma questão de advertising and marketing.
Baixe o estudo de caso completo aqui.
A tarefa period gerenciar o uso do Gerenciador de tags do Google. A equipe pode ter sentido que o advertising and marketing e o crescimento eram suas prioridades e, portanto, essa mudança fazia sentido, mas a segurança é uma daquelas vertentes que permeia tudo. A consequência da terceirização deste trabalho foi uma violação de dados porque o contratante não detectou um erro de configuração.
O GDPR, a CCPA, a Lei de Resiliência Cibernética e outras legislações relacionadas à privacidade exigem que as empresas não permitam que isso aconteça. Eles devem proteger os dados de seus clientes e obter sua permissão explícita antes de coletá-los e compartilhá-los, e devido à configuração incorreta isso não aconteceu. Errar dessa forma pode custar muito caro, tanto em termos de dinheiro quanto de reputação, sem mencionar o fato de que os cibercriminosos têm usado o Gerenciador de tags do Google como um meio para conduzir ataques de skimming na net e keylogging. Você pode ler mais sobre os detalhes dessa história em nosso estudo de caso.
Quão grande é o problema da configuração incorreta?
À medida que explorávamos o caso da empresa world de emissão de ingressos, ficamos curiosos sobre o Gerenciador de tags do Google e nos perguntamos o quão difundido esse tipo de problema poderia ser. Ficamos imaginando quantas outras empresas poderiam estar se expondo a possíveis ações judiciais coletivas multimilionárias movidas por massas de indivíduos cujos dados compartilharam sem permissão ou contra regulamentações de privacidade locais, e quantas poderiam estar em risco de atrair grandes penalidades por parte de vigilantes da privacidade de dados e reguladores do setor?
O estudo amostral
Decidimos analisar uma amostra de 4.000 websites que usam o Gerenciador de tags do Google. Descobriu-se que eles conectam um website médio a cerca de cinco aplicativos e que 45% desses aplicativos são usados para publicidade, 30% são pixels e 20% são ferramentas analíticas. Aqui estão os aplicativos que encontramos mais usuários se conectando ao Gerenciador de tags do Google, em ordem de popularidade.
![image1](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjGk4ORpZ6QS0weNjyIQSrClVbUnSVW5F-zisvnU9OIYfEO-3z3sDezZDnxCHpvhFIwSgY2gzft8AkXj7uPDHVlPDVjFfv8KQQbJy_VJ15dxbwykypy_RqKem44dAeliahiONWlb6lxHWH-L_5O-M0Ina-bSil6CvT6axzZXPflb9FkSmGagKCaD3VBglQ/s728-rw-e365/image1.png)
Para mais informações, leia o estudo de caso completo aqui.
O risco
Descobrimos que, em todos os setores, o Gerenciador de tags do Google e seus aplicativos conectados representam 45% de toda a exposição ao risco entre os usuários. No geral, 20% desses aplicativos estão vazando dados pessoais ou confidenciais do usuário devido a uma configuração incorreta.
As configurações incorretas apareceram nas aplicações abaixo, que respondem por 85% de todos os casos:
![image2](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3p52nO-U0WS96TVr097GVq-oyu28UkPStqSlc4ntQMhlK4KtN-QVnGneYQB-yZyttSM2t1Y_4tNfVdek3L2ySI1O7bqle7V42t1zfiZvbRnLKjgjwqjJODnqVbK-QX0O3clmE6VJC5BGiNj4HpY_Pmdw4ECkN0p_cI5jwTuFRQ1zJIaewOcR71zKEV34/s728-rw-e365/image2.png)
Oh A ironia!
Ironicamente, descobrimos que o próprio Gerenciador de tags do Google é responsável pela maioria dos casos de configurações incorretas que podem vazar dados do usuário e levar os proprietários de websites que inquestionavelmente confiam nele a uma situação difícil.
Agora, isso não é um ataque ao Gerenciador de tags do Google, porque é uma ferramenta muito útil e eficaz quando manuseada com segurança. Nossa intenção é apontar os perigos de não gerenciar os riscos potenciais que acompanham seu uso e encorajá-lo a ler tudo sobre as muitas maneiras práticas de garantir que suas tags se comportem corretamente.
Proteção contínua
Ao considerar táticas, técnicas e procedimentos cibernéticos, as organizações devem considerar o emprego de um sistema contínuo de gerenciamento de ameaças na net, como o Reflectiz. Suas ferramentas de segurança e gerenciamento de tags digitais oferecem às suas equipes visibilidade e controle completos sobre as tags, emitindo alertas sobre quaisquer alterações nas tags (e de fato em qualquer código no website) para revisão e aprovação. Satisfaz as prioridades conflitantes das equipes de advertising and marketing e segurança, permitindo que a Segurança faça a gestão sem restringir as ambições de crescimento e inovação do Advertising. Leia o estudo de caso completo para saber mais.