Blog

Beveiligings- en compliancerisico's van advertentiemarktplaatsen

Voor bedrijven die inkomsten genereren via advertentiemarktplaatsmodellen zijn externe advertentienetwerken, analyseplatformen en marketingscripts onmisbaar. Ze zijn nodig om omzet te stimuleren door betrokkenheid te vergroten en gebruikersgedrag bij te houden.

Dec 23, 2024 • 5 min read

Simon Wijckmans Founder & CEO

Maar ze brengen ook client-side risico's met zich mee.

We hebben het over kwaadaardige advertentie-injecties, phishingpraktijken en kwetsbaarheden in scripts van derden die steeds vaker door aanvallers worden misbruikt.

Onderzoeken zoals het Verizon 2024 Data Breach Investigations Report (DBIR) en Forrester's Business Risk Survey benadrukken dat kwetsbaarheden in de digitale toeleveringsketen — inclusief afhankelijkheden van derden — een van de voornaamste oorzaken zijn van moderne datalekken.

En dat komt doordat deze scripts volledig vrij spel hebben in de browser van uw gebruikers. Ze kunnen in principe alles laden wat ze willen en de ervaring van de bezoeker volledig veranderen.

Ons doel is om best practices te belichten voor het beschermen van eindgebruikersdata en het waarborgen van doorlopende compliance. Zelfs onder druk om de advertentie-inkomsten te maximaliseren. Het een hoeft het ander niet uit te sluiten.

Wat zijn deze bedreigingen precies

Kwaadaardige scripts: Advertentiemarktplaatsmodellen zijn afhankelijk van frequente scriptrotatie voor analyses en het weergeven van advertenties. Kwaadwillenden maken gebruik van deze dynamische omgevingen om malware in te sluiten of gegevens te onderscheppen. Zoals het DBIR aangeeft, blijft kwaadaardige injectie via advertentieservers of directe scriptmanipulatie een van de belangrijkste infiltratievectoren.
Diefstal van inloggegevens en exploits: Het DBIR onderstreept hoe phishing, gestolen inloggegevens en misbruikte kwetsbaarheden steeds vaker de voornaamste oorzaken van datalekken zijn. Aanvallers maken gebruik van marketingplatformen en onbeheerde scripts om snel door te dringen tot gevoeliger delen van de website.
Explosieve groei van ecosystemen van derden: Forrester's onderzoek naar risico's van derden toont aan dat overmatige afhankelijkheid van leveranciers het risicobeheer heeft bemoeilijkt, waarbij 25% van de ondernemingen een verhoogd beveiligingsrisico toeschrijft aan hun groeiende netwerken van derden. Toch beoordeelt minder dan de helft van de bedrijven zelfs maar 50% van hun relaties met derden, onder meer vanwege beperkte middelen en concurrerende prioriteiten.
Gebruik van moderne technologie: Zoals Forrester opmerkt, beschouwen veel bedrijven het beheer van risico's van derden (TPRM) niet als een prioriteit op hoog niveau, ondanks zero-day exploits zoals MOVEit die zwakke plekken in de toeleveringsketen blootleggen. Handmatig toezicht kan de dynamische aard van moderne digitale ecosystemen niet bijhouden, waardoor client-side kwetsbaarheden onopgemerkt blijven.

Hoe dit van toepassing is op advertentiemarktplaatsen

De afhankelijkheid van externe advertentienetwerken en marketingtechnologieleveranciers maakt advertentiemarktplaatsplatformen — en degenen die ze integreren — tot aantrekkelijke doelwitten voor aanvallers. Forrester vermeldt specifiek dat financiën, productie en grote multinationale ondernemingen een verhoogd risico lopen, maar 3rd-party beveiliging niet consequent prioriteren.

Internationaal opererende bedrijven krijgen te maken met uiteenlopende regelgevingskaders. EMEA-bedrijven ondervinden bijvoorbeeld strengere verplichtingen via de EU's Digital Operational Resilience Act (DORA) en de AVG.

Ondertussen zagen Noord-Amerikaanse en APAC-organisaties een sterke daling in de aandacht voor TPRM, ondanks de voortdurende toename van grensoverschrijdende advertentiescripts en infrastructuur. Dit regelgevingsverschil leidt vaak tot inconsistente beoordeling van leveranciers.

En uiteraard kan het verwaarlozen van relaties met derden tot allerlei problemen leiden. Uw omzet, complianceboetes of zelfs collectieve rechtszaken na datalekken. Zodra aanvallers zich client-side hebben genesteld, kunnen ze relatief eenvoudig — en waarschijnlijk onopgemerkt — consumentendata afvoeren of campagnes kapen.

Hoe dit op te lossen

Om client-side en 3rd-party risicobeheer te versterken, moeten organisaties een gestructureerde en proactieve aanpak hanteren.

Begin met het bijhouden van een uitgebreid en regelmatig bijgewerkt register van alle analyse- en ad-tech-partners. Elke leverancier moet worden beoordeeld op basis van zijn toegang tot gevoelige gebruikersdata en de omzetafhankelijkheid van de organisatie van zijn diensten.

Automatisering kan een belangrijke rol spelen bij leveranciersbeoordelingen. Elke organisatie die uitgebreide netwerken van scripts van derden beheert, moet robuuste TPRM- of governance-, risico- en complianceplatformen implementeren. Deze tools bieden continue evaluatie en stroomlijnen het toezicht, waarbij statische, jaarlijkse checklists worden vervangen door dynamische, realtime monitoring. En het bespaart enorm veel tijd, wat enorm veel geld bespaart.

Aan de client-side zijn er verschillende opties op de markt. We hebben een proxy-gebaseerde oplossing ontwikkeld die zorgt voor zichtbaarheid in advertentiescripts terwijl ze worden uitgevoerd. Dit maakt het mogelijk om kwaadaardige injecties in realtime te detecteren en te blokkeren, wat niet alle tools kunnen bieden.

Standaard moet multifactorauthenticatie (MFA) verplicht worden gesteld voor alle beheerderslogins, en inloggegevens voor platforms van derden moeten worden gesegmenteerd. Het inzetten van phishingdetectietools binnen teams versterkt de weerbaarheid eveneens.

Het afstemmen van beveiligingsinvesteringen op erkende risico's is even belangrijk. Organisaties die de blootstelling aan derden erkennen, hebben meer kans op hogere budgetten voor risicobeheer. Gebruik dit momentum om TPRM-platformen en code-inspectietools te financieren.

Slotopmerkingen

Uw advertentiemarktplaatsmonetisering loopt waarschijnlijk risico vanwege de aard van de implementatie ervan op uw site. Het is geen bug, het is een feature. Het hoort nu eenmaal bij het territorium. Dat is immers de client-side omgeving.

Dit zijn de belangrijkste punten om mee te nemen.

Geef prioriteit aan client-side beveiliging bij het beschermen van deze scripts, en daarmee uw gebruikers en uzelf. Gebruik een tool zoals cside om het gedrag van deze scripts van derden continu te monitoren en kwaadaardige pogingen te onderscheppen.

Stel ondertussen een inventaris op van deze scripts van derden (wat cside voor u doet), en zorg ervoor dat u uw partners goed doorlicht.

Uw voortdurende succes loopt parallel aan de veiligheid van uw website. Let op elk onderdeel van de digitale toeleveringsketen en zorg ervoor dat uw bezoekers en gebruikers veilig door uw pagina's kunnen navigeren.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.