Кто на самом деле управляет вашим сайтом, пока вы спите спокойно?

Служба безопасности одобрила рекламный тег. Прошла проверка, поставили галочку, все разошлись по своим делам. А через месяц этот же тег без всякого предупреждения подгружает код от совершенно другого поставщика. Тот, в свою очередь, тянет ещё один скрипт. И ещё один. Получается цепочка, которую никто не проверял и не утверждал — но которая работает на странице оформления заказа с теми же правами, что и код, написанный вашими же разработчиками. Читает поля форм. Видит данные покупателей. И делает это молча.
Именно этот разрыв между тем, что было согласовано с безопасностью, и тем, что реально крутится на сайте прямо сейчас, Идан Коэн, сооснователь и CEO компании Reflectiz, называет approval gap — разрывом одобрения. Компания выпустила отчёт State of Web Exposure Report 2026, и цифры там неприятные: 53% всех рисков в ритейле связаны именно с избыточным использованием трекинговых инструментов. Не с вредоносными атаками извне, а с тем добром, что сами же компании себе и установили.
Механика проста до обидного. Маркетинг ставит тег — быстро, без лишних вопросов, потому что кампанию надо запускать вчера. Безопасность проверяет код — тщательно, но один раз, в момент утверждения. А между этими двумя подходами образуется зона, которая формально не принадлежит никому. Скрипт, который был чист в момент одобрения, спокойно меняется на следующий день. Файрвол его не ловит, WAF пропускает, а разовая проверка кода давно устарела — она описывает стек, которого уже не существует.
Об этом на вебинаре Reflectiz говорил и Омри Ариав, директор по продукту в Taboola — платформе для discovery-контента, которую ежедневно видят 600 миллионов пользователей на площадках 9000 издателей. Ariav признаёт: сама Taboola в этой схеме выступает тем самым сторонним кодом, который должен проверяться так же строго, как и любой другой. «Мы считаем себя гостями на странице издателя или рекламодателя. И должны вести себя соответственно», — сказал он. Но дальше добавил то, что важнее любых красивых слов о гостеприимстве: «Первоначальное одобрение — не финишная черта. Нужен постоянный мониторинг, песочница, подтверждение того, что стандарты безопасности соблюдаются. Одной проверки недостаточно».
Коэн формулирует это ещё жёстче через набор из пяти вопросов, которые, по его мнению, должен уметь проговорить каждый вендор до того, как его код окажется на сайте. Первый и самый показательный: какой ещё код загружает ваш тег и кто его проверял? По наблюдениям Коэна, большинство поставщиков сегодня спотыкается хотя бы на одном из пяти вопросов — и это уже само по себе диагноз. «Вендор, который не может ответить на эти вопросы, не обязательно злонамерен. Но он неконтролируем. А неконтролируемое — значит рискованное», — говорит он.
ИИ в этой истории не столько создаёт новую угрозу, сколько разгоняет старую до бешеной скорости. Рекламные технологии на базе ИИ плодят интеграции, эндпоинты и потоки данных быстрее, чем любая ручная проверка успевает за ними угнаться. Одобрение, выданное в прошлом квартале, может описывать стек, которого физически уже нет. При этом та же самая доступность ИИ снижает порог входа для атакующих — злоупотребление браузерными уязвимостями становится дешевле и проще, и заниматься этим теперь может человек без глубоких технических знаний.
Регуляторная сторона вопроса тоже не стоит на месте. GDPR и CCPA задают рамки по обработке персональных данных, но отдельного внимания заслуживают требования PCI DSS 4.0.1 — конкретно пункты 6.4.3 и 11.6.1, которые напрямую касаются мониторинга скриптов на страницах оплаты. Это уже не абстрактная рекомендация «хорошо бы последить», а прописанный стандарт, по которому будут проверять при аудите.
Решение, которое предлагают в Reflectiz, звучит скромнее, чем можно было бы ожидать от компании, продающей продукт для мониторинга. Никто не предлагает тормозить маркетинг или объявлять рекламные технологии врагом номер один. Речь о постоянной, глубокой видимости того, что происходит на клиентской стороне сайта — не разовая проверка при подключении вендора, а непрерывное наблюдение за тем, что он делает после.
Практический план укладывается в три шага: инвентаризация всех скриптов, которые реально работают на сайте, постоянный мониторинг их поведения и, наконец, управление — то есть возможность быстро реагировать, когда что-то меняется без предупреждения. Судя по содержанию вебинара, эта тема адресована в первую очередь CISO и специалистам по прикладной безопасности, которые хотят закрыть слепые зоны на стороне клиента, командам по приватности и комплаенсу, которым приходится следить за меняющимися требованиями регуляторов, а также маркетинговым и digital-руководителям, которым нужно продолжать быстро запускать инструменты, но делать это без лишних сюрпризов для безопасности.
Вопрос, которым завершается разговор, звучит просто и неудобно одновременно: рекламные теги уже работают на ваших страницах прямо сейчас — вы точно знаете, что именно они делают? Ждать, пока это выяснится после проваленного аудита или после того, как со страницы оплаты утекут данные карт покупателей, — так себе стратегия.


Новое на сайте

Ссылка