Согласно данным «Исследования 2026 года» компании Reflectiz, основанного на анализе данных за 12 месяцев, закончившихся в ноябре 2025 года, 64% сторонних приложений получают доступ к чувствительным данным без какого-либо бизнес-обоснования. Этот показатель демонстрирует тревожную тенденцию, увеличившись с 51% в исследовании 2024 года, что составляет рост необоснованного доступа на 25% в годовом исчислении. В ходе работы было проанализировано 4700 ведущих веб-сайтов с использованием собственной системы Exposure Rating, которая сканирует миллионы точек данных и оценивает риски по шкале от A до F. Дополнительно был проведен опрос более 120 руководителей служб безопасности в секторах здравоохранения, финансов и розничной торговли.
Ключевым понятием отчета является «необоснованный доступ», определяемый как случаи, когда сторонние инструменты взаимодействуют с данными без явной деловой необходимости. Эксперты выделили четыре технических критерия для выявления таких нарушений: нерелевантная функция (чтение данных, ненужных для конкретной задачи, например, чат-боты в полях оплаты), присутствие с нулевым ROI (скрипты, активные на страницах высокого риска более 90 дней без передачи данных), теневое развертывание (внедрение через диспетчеры тегов без надзора безопасности) и избыточные разрешения (использование «Full DOM Access» для сканирования всей страницы вместо ограниченных элементов). Коренной причиной проблемы является предоставление организациями доступа к чувствительным данным по умолчанию, а не в виде исключения.
Среди конкретных инструментов были выявлены основные источники уязвимостей. Google Tag Manager ответственен за 8% всех нарушений необоснованного доступа к данным, а Shopify — за 5%. Особое внимание уделено Ф⃰ Pixel, который установлен на 53,2% веб-ресурсов, создавая системную единую точку отказа. Хотя он ответственен за 4% проанализированных внедрений, риски связаны с функциями «Automatic Advanced Matching» и «Full DOM Access», превращающими пиксели в непреднамеренные скраперы данных. Потенциальный взлом через этот вектор был бы в 5 раз масштабнее атаки на в 2024 году, затронувшей 100 тысяч сайтов; компрометация Pixel может мгновенно ударить по более чем 2,5 миллионам ресурсов.
Секторальный анализ показал разнонаправленные тенденции. В правительственном секторе вредоносная активность резко возросла с 2% до 12,9%, что обусловлено ограничениями бюджета и нехваткой кадров. В сфере образования признаки компрометации сайтов увеличились в четыре раза, достигнув 14,3%, что эквивалентно заражению каждого седьмого сайта. Напротив, страховой сектор продемонстрировал историю успеха, сократив вредоносную активность на 60% до показателя 1,3% благодаря улучшению бюджетов на управление. Секторы развлечений и онлайн-ритейла были определены как наиболее подверженные риску из-за маркетингового давления, превалирующего над безопасностью.
Исследование выявило существенный разрыв между осведомленностью и реальными действиями. Хотя 81% руководителей служб безопасности называют веб-атаки главным приоритетом, только 39% внедрили решения для их предотвращения, создавая разрыв в 42 пункта. В настоящее время 58% организаций не имеют надлежащей защиты: 24% полагаются исключительно на общие инструменты, такие как WAF, уязвимые для специфических сторонних рисков, а 34% все еще находятся на стадии оценки решений. Главными препятствиями для действий респонденты назвали бюджет (34%), регулирование (32%) и кадровые вопросы (31%).
Значительная часть рисков исходит от так называемого «фактора маркетингового отдела». Маркетинговые и цифровые департаменты генерируют 43% всех рисков стороннего воздействия, в то время как IT-отделы создают лишь 19%. Примечательно, что 47% приложений, работающих во фреймах оплаты, не имеют бизнес-обоснования. Маркетинговые команды часто внедряют инструменты конверсии в чувствительные среды без понимания последствий. Для решения этой проблемы необходим подход «Web Exposure Management» (термин, введенный Gartner) для контроля рисков от аналитики, маркетинговых пикселей, CDN и платежных инструментов.
Reflectiz определил технические индикаторы компрометации (IoC), указывающие на взлом. Домены, зарегистрированные в последние 6 месяцев, появляются на скомпрометированных сайтах в 3,8 раза чаще. Такие сайты также подключаются к значительно большему количеству внешних доменов (в среднем 100 против 36 на чистых ресурсах), что в 2,7 раза выше нормы. Кроме того, 63% скомпрометированных сайтов используют смешанный контент (протоколы HTTPS и HTTP одновременно).
В качестве эталонных показателей безопасности установлено, что ведущие организации поддерживают работу не более 8 сторонних приложений, тогда как средние организации с трудом управляют 15–25 приложениями. Только 429 сайтов из 4700 продемонстрировали высокие результаты. Единственным сайтом, соответствующим всем 8 критериям и получившим оценку A+, стал . Оценку A (соответствие 7 критериям) получили такие ресурсы, как GitHub, PayPal и Йельский университет (Yale University).
Для снижения рисков предлагаются три быстрые меры. Во-первых, аудит трекеров: инвентаризация каждого пикселя, отключение «Automatic Advanced Matching» в Ф⃰ Pixel на страницах с PII, проверка отсутствия доступа Google Tag Manager к платежным страницам и пересмотр разрешений приложений Shopify. Во-вторых, внедрение автоматизированного мониторинга: контроль доступа к чувствительным полям (карты, SSN) в реальном времени и отслеживание нарушений CSP (Content Security Policy). В-третьих, устранение разрыва между маркетингом и IT через совместные проверки CISO и CMO, использование списков разрешений/исключений для Ф⃰ Pixel и оценку ROI трекеров в сравнении с рисками.
Изображение носит иллюстративный характер
Ключевым понятием отчета является «необоснованный доступ», определяемый как случаи, когда сторонние инструменты взаимодействуют с данными без явной деловой необходимости. Эксперты выделили четыре технических критерия для выявления таких нарушений: нерелевантная функция (чтение данных, ненужных для конкретной задачи, например, чат-боты в полях оплаты), присутствие с нулевым ROI (скрипты, активные на страницах высокого риска более 90 дней без передачи данных), теневое развертывание (внедрение через диспетчеры тегов без надзора безопасности) и избыточные разрешения (использование «Full DOM Access» для сканирования всей страницы вместо ограниченных элементов). Коренной причиной проблемы является предоставление организациями доступа к чувствительным данным по умолчанию, а не в виде исключения.
Среди конкретных инструментов были выявлены основные источники уязвимостей. Google Tag Manager ответственен за 8% всех нарушений необоснованного доступа к данным, а Shopify — за 5%. Особое внимание уделено Ф⃰ Pixel, который установлен на 53,2% веб-ресурсов, создавая системную единую точку отказа. Хотя он ответственен за 4% проанализированных внедрений, риски связаны с функциями «Automatic Advanced Matching» и «Full DOM Access», превращающими пиксели в непреднамеренные скраперы данных. Потенциальный взлом через этот вектор был бы в 5 раз масштабнее атаки на в 2024 году, затронувшей 100 тысяч сайтов; компрометация Pixel может мгновенно ударить по более чем 2,5 миллионам ресурсов.
Секторальный анализ показал разнонаправленные тенденции. В правительственном секторе вредоносная активность резко возросла с 2% до 12,9%, что обусловлено ограничениями бюджета и нехваткой кадров. В сфере образования признаки компрометации сайтов увеличились в четыре раза, достигнув 14,3%, что эквивалентно заражению каждого седьмого сайта. Напротив, страховой сектор продемонстрировал историю успеха, сократив вредоносную активность на 60% до показателя 1,3% благодаря улучшению бюджетов на управление. Секторы развлечений и онлайн-ритейла были определены как наиболее подверженные риску из-за маркетингового давления, превалирующего над безопасностью.
Исследование выявило существенный разрыв между осведомленностью и реальными действиями. Хотя 81% руководителей служб безопасности называют веб-атаки главным приоритетом, только 39% внедрили решения для их предотвращения, создавая разрыв в 42 пункта. В настоящее время 58% организаций не имеют надлежащей защиты: 24% полагаются исключительно на общие инструменты, такие как WAF, уязвимые для специфических сторонних рисков, а 34% все еще находятся на стадии оценки решений. Главными препятствиями для действий респонденты назвали бюджет (34%), регулирование (32%) и кадровые вопросы (31%).
Значительная часть рисков исходит от так называемого «фактора маркетингового отдела». Маркетинговые и цифровые департаменты генерируют 43% всех рисков стороннего воздействия, в то время как IT-отделы создают лишь 19%. Примечательно, что 47% приложений, работающих во фреймах оплаты, не имеют бизнес-обоснования. Маркетинговые команды часто внедряют инструменты конверсии в чувствительные среды без понимания последствий. Для решения этой проблемы необходим подход «Web Exposure Management» (термин, введенный Gartner) для контроля рисков от аналитики, маркетинговых пикселей, CDN и платежных инструментов.
Reflectiz определил технические индикаторы компрометации (IoC), указывающие на взлом. Домены, зарегистрированные в последние 6 месяцев, появляются на скомпрометированных сайтах в 3,8 раза чаще. Такие сайты также подключаются к значительно большему количеству внешних доменов (в среднем 100 против 36 на чистых ресурсах), что в 2,7 раза выше нормы. Кроме того, 63% скомпрометированных сайтов используют смешанный контент (протоколы HTTPS и HTTP одновременно).
В качестве эталонных показателей безопасности установлено, что ведущие организации поддерживают работу не более 8 сторонних приложений, тогда как средние организации с трудом управляют 15–25 приложениями. Только 429 сайтов из 4700 продемонстрировали высокие результаты. Единственным сайтом, соответствующим всем 8 критериям и получившим оценку A+, стал . Оценку A (соответствие 7 критериям) получили такие ресурсы, как GitHub, PayPal и Йельский университет (Yale University).
Для снижения рисков предлагаются три быстрые меры. Во-первых, аудит трекеров: инвентаризация каждого пикселя, отключение «Automatic Advanced Matching» в Ф⃰ Pixel на страницах с PII, проверка отсутствия доступа Google Tag Manager к платежным страницам и пересмотр разрешений приложений Shopify. Во-вторых, внедрение автоматизированного мониторинга: контроль доступа к чувствительным полям (карты, SSN) в реальном времени и отслеживание нарушений CSP (Content Security Policy). В-третьих, устранение разрыва между маркетингом и IT через совместные проверки CISO и CMO, использование списков разрешений/исключений для Ф⃰ Pixel и оценку ROI трекеров в сравнении с рисками.
