64 % aplikací třetích stran přistupuje k citlivým datům bez oprávnění

64 % aplikací třetích stran přistupuje k citlivým datům bez oprávnění

Výzkum analyzující 4 700 předních webových stránek odhaluje, že 64 % aplikací třetích stran nyní přistupuje k citlivým datům bez obchodního oprávnění, což je nárůst z 51 % v roce 2024. Škodlivá aktivita ve vládním sektoru vzrostla z 2 % na 12,9 %, zatímco 1 ze 7 vzdělávacích webů vykazuje známky aktivního kompromitování.

Po dobu 12 měsíců (do listopadu 2025) společnost Reflectiz analyzovala 4 700 předních webových stránek pomocí svého proprietárního systému hodnocení expozice. Analyzuje obrovské množství datových bodů, které získává ze skenování milionů webových stránek, přičemž zvažuje každý rizikový faktor v kontextu, sčítá je dohromady a vytváří celkovou úroveň rizika, kterou vyjadřuje jako jednoduchou známku od A do F. Zjištění byla doplněna průzkumem mezi více než 120 bezpečnostními vedoucími v sektorech zdravotnictví, financí a maloobchodu.

Krize neoprávněného přístupu

Zpráva zdůrazňuje rostoucí mezeru ve správě nazvanou „neoprávněný přístup“: případy, kdy jsou nástrojům třetích stran udělena oprávnění k přístupu k citlivým datům bez prokazatelné obchodní potřeby.

Přístup je označen, když skript třetí strany splňuje některé z těchto kritérií:

  • Irelevantní funkce: Čtení dat nepotřebných pro jeho úkol (např. chatbot přistupující k platebním polím).
  • Přítomnost s nulovým ROI: Zůstává aktivní na vysoce rizikových stránkách navzdory 90+ dnům bez přenosu dat.
  • Stínové nasazení: Vložení prostřednictvím správců tagů bez bezpečnostního dohledu nebo omezení „nejmenších oprávnění“.
  • Nadměrná oprávnění: Využívání „úplného přístupu k DOM“ pro sběr celých stránek místo omezených prvků.

 

„Organizace udělují přístup k citlivým datům ve výchozím nastavení, nikoli jako výjimku.“ Tento trend je nejzřetelnější v zábavě a online maloobchodě, kde marketingové tlaky často převažují nad bezpečnostními kontrolami.

Studie identifikuje konkrétní nástroje způsobující tuto expozici:

  • Google Tag Manager: Odpovídá za 8 % veškerého neoprávněného přístupu k citlivým datům.
  • Shopify: 5 % neoprávněného přístupu.
  • Facebook Pixel: Ve 4 % analyzovaných nasazení byl pixel shledán s nadměrnými oprávněními, zachycující citlivá vstupní pole, která nevyžadoval pro funkční sledování.

 

Tato mezera ve správě není teoretická. Nedávný průzkum mezi více než 120 bezpečnostními rozhodovacími pracovníky ze zdravotnictví, financí a maloobchodu zjistil, že 24 % organizací se spoléhá výhradně na obecné bezpečnostní nástroje jako WAF, což je činí zravitnými vůči specifickým rizikům třetích stran, která tento výzkum identifikoval. Dalších 34 % stále vyhodnocuje vyhrazená řešení, což znamená, že 58 % organizací postrádá správnou obranu navzdory rozpoznání hrozby.

Kritická infrastruktura pod útokem

Zatímco statistiky ukazují masivní nárůst útoků ve vládním a vzdělávacím sektoru, příčina je spíše finanční než technická.

  • Vládní sektor: Škodlivá aktivita explodovala z 2 % na 12,9 %.
  • Vzdělávací sektor: Známky kompromitovaných stránek se zčtyřnásobily na 14,3 % (1 ze 7 stránek).
  • Pojišťovací sektor: Naopak tento sektor snížil škodlivou aktivitu o 60 %, klesající na pouhých 1,3 %.

 

Instituce omezené rozpočtem prohrávají bitvu v dodavatelském řetězci. Soukromé sektory s lepšími rozpočty na správu stabilizují svá prostředí.

Respondenti průzkumu to potvrdili: 34 % uvedlo rozpočtová omezení jako svou hlavní překážku, zatímco 31 % poukázalo na nedostatek pracovních sil – kombinace, která zasahuje veřejné instituce obzvláště tvrdě.

Zdroj: thehackernews.com