行业资讯 | 假追踪器在“偷”数据真相调查

未经授权的追踪技术可能窃取个人数据，并威胁公司网站和应用程序的安全。在此，作者探讨了使用追踪技术的利弊，并列出了调查由未经授权的追踪器引发的数据泄露的具体步骤。

2023年初，一家零售公司收到一位客户的投诉，称其账户在未经授权的情况下被更改，这是该公司遭遇安全漏洞的首个迹象。这一事件引发了一场持续五个月的调查，公司的网页开发团队、信息技术与安全专家以及外部法医专家均参与其中。最终，公司的调查团队确定，此次漏洞并非由勒索软件或商业电子邮件妥协所致。相反，调查人员发现公司网站上存在未经授权的追踪技术，这些技术一直在将客户的个人数据窃取给第三方中间商，而该中间商随后将这些数据（包括客户的用户名、密码、购买习惯和信用卡信息）出售。调查人员表示，公司系统中一个此前未被发现的编码漏洞为此次数据泄露创造了条件，使得恶意行为者能够向公司网站注入Cookie，从而收集数据并将其传输至外部数据库。 

去年的另一起案例中，某制药公司的网页团队在对公司网站进行例行测试时，发现公司网页表单条目的URL重定向存在异常。该网页团队确定，由于网站上收集客户信息的提交表单被重定向至公司外部的未知方，其客户信息——包括用户名、地址、所服药物和健康状况等敏感信息——被无意间分享给了未经授权的第三方。

调查花了六周时间才得以解决，期间公司的网页团队仔细检查了网页表单代码、URL重定向和服务器日志，以追踪未授权访问并识别异常模式。该公司此次漏洞的原因是SQL注入攻击，再加上恶意网站重定向。这一漏洞使得威胁行为者能够操纵包含敏感信息的数据库与网站表单位置之间的连接，将数据重定向至未授权的目的地。 

这两起案例说明了舞弊者如何通过追踪技术获取人们的个人及敏感信息。随后，舞弊者利用通过这些追踪技术获取的敏感数据从事其他犯罪活动，如身份盗用和社会工程诈骗。  

这些案例还揭示了追踪技术如何在后台秘密运行——在无人知晓的情况下收集数据，直到为时已晚，公司不得不应对不必要的诉讼、声誉受损和代价高昂的调查。很多时候，这些技术无法触发适当的通知和同意机制，而嵌入网站的恶意脚本以及其他未授权的第三方追踪器可能会使入侵难以监控和补救。首先了解这些技术的存在，有助于组织保持警惕，保护其客户的个人及敏感信息。我们将解释这些技术如何从网站和移动应用程序（即 apps）中追踪数据，并提供调查可疑或未授权追踪技术的最佳实践。

追踪技术是代码或脚本片段，如Cookie、像素标签、信标和标记，用于收集和分析人们与网站及移动应用程序的互动信息。当组织创建自己的追踪技术时，这被称为“第一方”追踪，但第三方也可能使用这类技术。通常，网站或应用程序所有者拥有这些技术的域名所有权，并对收集的数据负责，即便他们使用第三方服务提供商来管理或托管网站。 

如果公司负责任地使用追踪技术，这些技术有助于了解客户。但一旦落入不法分子手中，它们可能会被用来收集和滥用敏感数据。用于舞弊目的的追踪技术通过脚本或恶意广告网络植入网站，其代码经过混淆处理以避免被识别。编码错误和配置不当可能导致无意的数据泄露。这些错误虽可追踪和纠正，但它们也是不良行为者会毫不犹豫加以利用的漏洞。

如前所述，并非所有追踪技术都是一样的——事实上，有些追踪技术是数字营销策略不可或缺的部分，具有多种功能，例如改善客户的网站体验或提升网站性能以促进收入增长。

如果负责任地使用，追踪技术能让公司深入了解客户的活动。正是通过追踪技术，公司才能知晓客户的偏好和行为。营销人员通过分析追踪技术收集的数据，可制定个性化的广告活动，从而提高客户参与度、转化率，并最终获得更高的投资回报率（ROI）。

企业通常利用追踪技术开发精准的归因模型，借此确定哪些营销活动最有效，以及网站上不同的接触点如何助力将用户转化为客户。  

追踪技术带来的洞见为制定战略决策提供了宝贵数据。分析用户行为有助于公司识别趋势、改进产品并优化网站设计。这些技术还能帮助公司洞悉竞争对手的策略。  

公司或许还会借助追踪技术发现业务流程中的低效之处。通过找出资源利用不足或浪费的领域，公司能精简运营、降低成本并提高整体生产力。追踪技术收集的数据还能帮助公司预测趋势和行为，以应对市场变化、优化库存管理，并调整商品或服务以满足预期需求。

最后，组织还可利用这些技术协助自身遵守法律法规要求。通过追踪技术记录用户互动的详细日志和记录，公司能达到行业标准，并在审计时提供必要的文件。  

这正是追踪技术从有用变为有害的地方。首先，对消费者而言，这些技术会侵犯隐私，因为它们会收集敏感的个人数据，如个人位置、健康信息、在线浏览习惯和财务详情。如果不法分子能够获取这些数据，网站糟糕的安全措施可能会导致身份盗用和经济损失。未经授权的追踪技术常常在未获得明确同意的情况下监控个人，这会侵蚀信任，并造成一种持续被监视的感觉（参见本文末尾的“收集个人信息时，获得同意至关重要” sidebar）。其使用还引发了伦理和道德方面的担忧，尤其是在执法等领域——在这些领域，监控个人或许是必要的，但如果不负责任地使用，无视公民的公民权利和自由，这些追踪技术就有可能被用于歧视性做法，从而不成比例地针对特定群体。

不法分子会将收集到的数据用于超出原始目的的用途，例如将数据用于定向内容推送和政治宣传。此外，一些雇主可能会利用这些技术对员工进行过度监控。  

依赖追踪技术的组织如果遭遇技术故障或失灵，也会面临问题，这会干扰工作和其他关键任务。追踪技术的错误实施会影响网站的性能和正常运行。

此外，实施和维护追踪技术可能成本高昂，企业或许会通过提高商品或服务价格将成本转嫁给客户。

在接下来的部分，我们将详细说明如果组织怀疑数据泄露是由追踪技术引起的，应该采取哪些措施。

如果不法分子能够获取这些数据，网站糟糕的安全措施

可能会导致身份盗用和经济损失。

了解泄露范围

在着手任何数据泄露调查之前，必须了解数据泄露的范围。尽早收集有关情况的尽可能多的信息，有助于调查人员确定泄露源以及所造成的损害程度。要全面了解泄露范围，需要与内部数字团队沟通，就疑似事件提出详细问题，并了解当前网站或移动应用程序的配置。需要提出的关键问题包括：  

• 该网站使用了哪些追踪技术？（例如，浏览器Cookie、GPS追踪、射频识别）  

• 具体泄露了哪些数据？（例如，位置数据、浏览历史、个人标识符）

• 谁可能获取了这些信息？（例如，第三方、不法分子）

•  有多少用户受到此次泄露的影响？

之后，管理层需要与营销、数据分析和软件开发团队合作，收集关于他们如何使用追踪技术的尽可能多的信息。调查可能需要收集和分析网络数据包、日志文件和标签管理器。

了解监管影响

当怀疑发生数据泄露时，组织必须考虑法规和合规要求。如果组织在欧盟开展业务，就需要遵守欧盟《通用数据保护条例》（EU GDPR）规定的报告义务。在美国运营的实体必须评估数据泄露通知协议以及触发向受影响方和监管机构进行强制披露的阈值（有关欧盟《通用数据保护条例》的更多信息，参见本文末尾的“收集个人信息时，获得同意至关重要“侧边栏”）。

虽然可能无法立即报告事件，但了解履行合规要求所需的时间期限和义务至关重要。组织应制定全面的隐私事件清单，以确保涵盖合规和报告程序的所有方面（有关追踪技术相关的法规和合规要求的更多信息，参见本文末尾的“合规义务“侧边栏”）。

收集数据

管理层全面清点事件情况及合规要求后，就可以开始收集数据了。在很多情况下，公司可能会尽快移除未经授权的追踪器，但这样一来，调查人员就得重新构建这些追踪器。为重新构建这些追踪器，调查人员可通过“回溯机器”（Wayback Machine）获取受影响网站或应用程序的存档版本，然后利用沙盒环境（一种测试环境）对未经授权的追踪器进行安全分析。 

接受过数字法证培训且有此类调查经验的舞弊调查人员，可在追踪器从网站移除前对网站进行存档。在测试环境中分析网站前，可通过法证手段复制或获取网站的存档版本。

最后，如果网站仍在运行且不受欢迎的追踪技术仍在活动，调查人员需保存网站或必要页面的副本，然后从运行中的网站移除不受欢迎的追踪技术。  

无论选择哪种方法，进行分析时都要在离线环境中操作。以符合法证要求的方式修复网站并收集必要的日志文件。  

仔细检查网站

调查人员必须借助以下工具仔细检查相关网站。

浏览器工具：浏览器开发者工具能提供详细的检查机制，用于分析网页元素。它们帮助调查人员查看网站是否有关于非安全源或请求的安全警告。此外，调查人员可利用这些工具识别并记录可疑的追踪活动（可能涉及未经授权的数据收集或恶意脚本），从而更全面地检查网站行为。

扫描工具：定期使用自动扫描工具有助于识别和分析隐藏的追踪技术，如Cookie、脚本和网络信标。

手动分析和网站检查：手动分析追踪脚本，识别已知的追踪域名和收集用户数据的脚本，这对调查至关重要。这些程序能发现常规检查可能遗漏的隐藏数据收集方法。这些脚本通常以JavaScript编写，嵌入网站中，用于收集个人在数字平台上的活动数据——如点击内容、停留时间、浏览内容、位置和偏好。手动分析可确定从平台收集或窃取了哪些数据。

要手动分析脚本，首先需使用网站开发者工具检查网站的源代码。搜索来自第三方的外部脚本或嵌入代码，包括分析工具、广告网络或社交媒体插件。然后，逐行查看代码以了解其功能，例如数据收集方式、与服务器的通信方式，以及网站如何使用Cookie或追踪技术。Wireshark或Fiddler等工具可监控脚本发出的网络请求。  

接下来，在不同场景下测试脚本以观察其行为。在沙盒环境中，调查人员会模拟用户交互或使用模拟用户操作流程的工具。在此过程中，调查人员可能会检查脚本是否遵守“不追踪”等隐私设置。同时，我们通过查看相关实体的隐私政策和服务条款来研究这些脚本，以确定追踪技术是否在正常运行。在整个过程中，我们记录调查结果，并识别数据隐私、伦理或不合规问题。

通过分析这些元素，舞弊调查人员能发现嵌入网站源代码中的未经授权的追踪技术。这一过程可能会定位数据泄露的源头，并揭示用户数据的收集、存储方式以及潜在的滥用情况。识别这些脚本和域名还能凸显违反隐私法规的行为，并帮助泄露调查人员采取纠正措施保护用户信息，例如加密Cookie数据以增加安全层、限制Cookie的生命周期（确保其快速过期，以减少不法分子利用它们的时间），以及获取用户同意以便用户管理其Cookie设置。 

确定泄露源

调查人员收集数据后，就可以着手确定泄露源了。以下步骤对这一过程至关重要：

1. 访谈负责网站开发和发布的团队。  

2. 查看系统日志和网络流量以追踪数据流。  

3. 分析访问控制和权限，确定是否存在未经授权的访问。  

4. 检查受感染的设备或服务器，寻找未经授权访问的迹象。  

在调查的这一步，与组织的数字和营销专业人员协作是关键。数据泄露并非都是恶意活动导致的，有时是编码或管理失误造成的。由于失误可能会产生漏洞，因此必须与网站开发团队进行详细讨论以弄清楚发生了什么。组织的网页团队应能解释网站架构、编码规范和安全措施，以帮助找出可能导致泄露的漏洞。  

营销和数字团队可能会提供有关授权追踪技术及其预期用途的见解，以及所收集数据的性质、存储方式和任何第三方集成情况。这些团队可能会提供有关用户行为模式的见解，这有助于确定泄露的范围。  

查看系统日志和网络流量以追踪数据流

这一步需要检查系统日志和网络流量，以确定这些未经授权的追踪器是如何访问网站的。系统日志记录了网络内的所有活动，为排查异常行为或未经授权的访问尝试提供了宝贵信息。必要时，调查人员应捕获网络流量，仔细检查数据包并追踪网络内的数据流。  

我们建议，一旦怀疑发生数据泄露，就捕获网络流量，但这并非总能实现。以下因素有助于确定是否有必要捕获网络流量：

如果系统日志或监控工具显示异常活动，如未经授权的访问尝试或网络内的异常模式，捕获流量有助于识别入侵的源头、性质和范围。  

如果有迹象表明网站敏感数据（如Cookie或用户信息）正在泄露，分析网络流量有助于识别泄露发生的路径和机制，包括确定第三方追踪器或脚本是否在不当访问或传输数据。 

如果网站出现性能问题，监控网络流量可确定是否存在瓶颈或配置错误，使组织的网站易受攻击。  

分析影响

了解数据泄露的影响对于解决问题至关重要。为此，调查团队应与组织的法律团队密切合作，对泄露的数据类型进行分类，区分个人信息、财务信息、健康信息或其他敏感信息。确定受泄露影响的数据类型，能让组织确定潜在的受害人群。一种良好做法是模拟各种场景，考虑不法分子可能如何利用这些数据，例如盗用身份，或通过错误处方或未经授权访问财务资源实施医疗舞弊。必须全面评估对用户隐私和安全的直接和长期影响，包括评估恶意实体创建欺诈性账户以获取商品和服务，或策划大规模身份盗窃活动的可能性。  

估算组织的财务损失或法律后果

数据泄露的后果对组织而言可能是灾难性的——不仅限于财务损失。当涉及敏感的个人信息时，公司的声誉和客户信任都岌岌可危。组织还必须考虑这些数据泄露事件可能引发的各种财务、法律和公共后果。  

• 计算数据泄露的直接财务成本。这包括与补救相关的即时费用，如聘请法证专家控制泄露并开展调查、实施防止未来泄露的措施，以及聘请法律专家。

• 考虑监管机构的罚款和处罚。根据数据泄露的性质和程度，监管机构可能会处以巨额罚款，尤其是如果发现公司在保护个人和敏感数据方面存在疏忽。

• 计算间接成本及其对组织长期生存能力的影响。数据泄露会严重损害声誉并削弱客户信任，进而可能导致业务损失。  

• 预测对未来业务和收入的影响。处理数据泄露所带来的财务压力会占用核心业务功能的资源，减缓增长和创新。再加上客户信任的丧失，这可能会导致销售额下降和收入减少，构成长期威胁。

网站和移动应用程序的数据泄露对各种规模的公司都构成重大风险。公司必须采取全面措施来降低泄露风险，包括技术、管理和物理层面的措施，并进行持续监控，在缺陷演变成更大问题前加以解决。  

公司应实施技术措施，包括加密、定期安全更新、访问控制和安全编码实践，正如《设计与默认安全协议》中所规定的那样。在该协议中，安全从一开始就融入系统的设计和开发过程。常见原则包括主动安全措施（如加密、访问控制、监控）、威胁建模（在设计阶段早期识别潜在漏洞以降低风险）以及全面保护（如网络、应用程序、数据层面）。此外，应通过“设计与默认数据保护”来实施隐私实践，该理念侧重于在产品、服务或系统设计前就考虑隐私和数据保护。  

组织应实施管理措施，包括对软件开发和营销专业人员的培训，以及其他措施，如政策、清单、备份和恢复计划，以及完善的第三方风险管理实践。

物理安全应包括数据中心和硬件安全。安全团队应部署使用生物识别技术（如指纹或视网膜扫描）的高级访问控制系统，并安装高分辨率监控摄像头对数据中心进行持续监控。此外，应配备训练有素的安保人员巡逻和监控场所，以加强安全保障并对可疑活动做出快速响应。  

通知协议是降低未来风险的另一个重要方面。安全团队应将网站数据泄露纳入事件响应计划，并确定需要参与响应计划的人员。例如，营销和数字团队通常对公司的在线体验有深入了解，非常适合加入响应团队。

如果发生数据泄露，必须按照法律要求通知直接受影响的个人以及任何监管机构。及时通知有助于减轻损害并保持透明度。

网站和移动应用程序的数据泄露可能严重损害声誉、削弱客户信任，并导致收入下降和长期业务威胁。公司可以通过实施适当的编码技术、监控和数据保护控制来降低这些问题的影响。如果发生泄露，组织应遵循成熟的调查技术来确定泄露的根本原因，并实施完善的数据保护控制以避免未来的风险。

在2022年的一项研究中，研究人员抓取了10万个网站的280万个页面，发现多达1844个欧洲页面和2950个美国页面允许追踪器在表单提交前捕获电子邮件地址。在这项研究中，网站访问者在在线表单中输入了他们的电子邮件地址，随后这些地址被未经授权的第三方收集。未经授权收集电子邮件地址侵犯了用户隐私，因为这是在未获得同意的情况下收集个人信息。未经授权收集电子邮件地址还会增加数据泄露和身份盗用的风险，因为黑客可能会进一步利用这些未经授权的数据，使用户遭受钓鱼攻击和其他恶意活动。  

发出通知并获得明确或默示同意，是组织确定是否可以从用户那里收集特定类型信息的关键环节。在美国，法院认可网站向访问者告知其权利并提供接受或拒绝不同类型追踪技术的机会这种做法。近年来，监管机构和原告律师对未能充分告知访问者其数据隐私权利的公司提起了诉讼。在美国，受监管实体只有在《健康保险流通与责任法案》（HIPAA）明确允许或要求的情况下，才能在未获得个人书面授权的情况下使用或披露受保护的健康信息。

欧盟《通用数据保护条例》（GDPR）要求所有网站在部署非必要的Cookie或追踪器前，必须获得用户明确且知情的同意。网站必须详细说明收集的数据类型及其用途，并披露第三方访问情况。用户可随时撤回同意。根据英国信息专员办公室的规定，网站只需告知用户Cookie的存在，解释Cookie的作用，并提供明确的选择加入选项。欧盟《电子隐私指令》要求网站在使用Cookie前获得用户同意，但对网站功能至关重要的Cookie除外。网站必须有清晰易懂的提示条，告知客户Cookie的使用情况，并提供获取同意的途径。 

多项法律法规推动着追踪技术的合规工作，并促使公司调查未经授权的数据共享和数据泄露。这些法律法规涵盖全球多个行业、机构和监管机构。例如，2020年，法国数据保护机构（CNIL）对谷歌有限责任公司处以6000万欧元（约合6800万美元）罚款，对谷歌爱尔兰公司处以4000万欧元（约合4600万美元）罚款，原因是它们存在未经授权的数据共享行为。此外，CNIL对亚马逊欧洲核心公司处以3500万欧元（约合4000万美元）罚款，因其违反了《电子隐私指令》——该指令要求通信行业遵守某些网站合规义务。2023年1月，CNIL对TikTok处以500万欧元（约合570万美元）罚款，原因是其未能提供便捷的Cookie拒绝选项，且未充分透明地说明Cookie的用途，违反了法国数据保护法。