Blog Attacks

Session recording-tools op goksites: het PII-exfiltratierisico dat operators missen

Session recording-tools op goksites kunnen stilzwijgend PII van spelers exfiltreren bij misconfiguratie of compromittering. Dit zijn de drie manieren.

Jun 24, 2026 • 11 min read

Mike Kutlu Client-Side Security Consultant

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over sessierecordingtools en risico op PII-exfiltratie

Session recording-tools zijn standaarduitrusting in de analytics-stack van iGaming-operators. Hotjar, FullStory en Microsoft Clarity worden dagelijks gebruikt door UX- en CRO-teams om spelersreizen te begrijpen, wrijving in registratieflows te identificeren en stortingsfunnels te optimaliseren. De meeste complianceteams hebben deze tools goedgekeurd bij de eerste implementatie. Wat complianceteams niet routinematig controleren is wat die tools nu doen, wie de code beheert die onder hun naam wordt uitgevoerd, en of die code gewijzigd is sinds de oorspronkelijke goedkeuring. Het IBM 2024 Cost of a Data Breach-rapport stelt de wereldwijde gemiddelde inbreukkosten op $4,88 miljoen. Voor een gelicentieerde gokoperator neemt dit bedrag verder toe zodra de regulatoire dimensie wordt meegewogen.

Wat session recording-tools daadwerkelijk verzamelen op goksites

Kort antwoord: Session recording-tools op goksites verzamelen aanzienlijk gevoeliger gegevens dan op typische e-commercesites. E-mailadressen van spelers, telefoonnummers, stortingsbedragen, opnamepatronen en sessietokens vallen allemaal potentieel binnen het opnamebereik. Het hogere risicoprofiel van gokgegevens maakt elke exfiltratieincident aanzienlijk ernstiger dan een standaard consumentendatalek.

Op een generieke retailwebsite kan een verkeerd geconfigureerde session recorder de naam en het bezorgadres van een gebruiker vastleggen. Op een goksite is de reikwijdte van wat toegankelijk is voor een recording-tool aanzienlijk gevoeliger.

Tijdens een typische spelersessie kan een session recording-tool met brede DOM-toegang het volgende observeren:

E-mailadressen en telefoonnummers ingevoerd tijdens registratie of accountverificatie
Geboortedatum en identiteitsdocumentgegevens ingediend voor KYC
Stortingsbedragen, betaalmethodeselecties en opnameverzoeken
Inzetgeschiedenis en inzetwaarden zichtbaar in het dashboard van de speler
Sessietokenwaarden aanwezig in pagina-URL's of formuliervelden
Antwoorden op prompts voor verantwoord gokken en zelfuitsluitingsdisclosures

Onder GDPR Artikel 4 vormt al het bovenstaande persoonsgegevens. Financieel gedrag, gezondheidsgerelateerde gegevens (status verantwoord gokken) en identiteitsverificatiegegevens dragen verhoogde beschermingsvereisten. Voor gokoperators die vallen onder de jurisdictie van de UK ICO is het handhavingspreëdent van British Airways direct relevant: de ICO legde een boete op van £20 miljoen na een inbreuk waarbij passagiersbetalings- en persoonsgegevens werden blootgesteld via een gecompromitteerd script van derden dat in de boekingsflow was geïnjecteerd.

De gokcontext vergroot het risico op twee specifieke manieren. Ten eerste bevatten gokoperators gegevens over de financiële kwetsbaarheid van spelers die bijzondere gevoeligheid dragen onder de proportionaliteits- en dataminimalisatievereisten van de GDPR. Ten tweede leggen goklicenties in het VK, Malta en andere jurisdicties onafhankelijke gegevensbeschermingsverplichtingen op die GDPR-boetes kunnen combineren met sancties op licentiëniveau.

Drie manieren waarop session recording-tools misgaan

Kort antwoord: Session recording-tools falen op drie verschillende manieren: misconfiguratie die PII-velden blootstelt die de tool nooit bedoeld was vast te leggen; monkey-patching, waarbij geïnjecteerde code de legitieme recorder omhult om de gegevensstroom te onderscheppen; en shadow recording-tools geïnjecteerd via GTM of affiliate scripts zonder enige autorisatie van de operator. Standaard beveiligingscontroles detecteren geen van deze betrouwbaar.

Misconfiguratie: de tool is legitiem, de configuratie niet

Session recording-leveranciers bieden maskeringscontroles aan die bedoeld zijn om gevoelige formuliervelden van vastlegging uit te sluiten. In de praktijk worden deze controles inconsistent toegepast. Een configuratiewijziging die tijdens een herontwerp van de registratieflow wordt aangebracht, kan velden die eerder waren uitgesloten, per ongeluk demaskeren. Een nieuwe pagina die aan de stortingsfunnel wordt toegevoegd, heeft mogelijk niet de maskeringsregels overgenomen die op de originele pagina's zijn toegepast.

De tool zelf doet precies wat hij geconfigureerd is te doen. De configuratie is het probleem, en de meeste complianceteams hebben geen zicht op de session recording-configuratie op veldniveau.

Monkey-patching: de tool is legitiem, de code niet

Monkey-patching is een specifieke JavaScript-techniek waarbij een geïnjecteerd script een functie in een legitiem geladen bibliotheek omhult of vervangt. In de context van session recording-tools betekent dit dat een kwaadaardig script dat wordt geladen via GTM, een affiliate pixel of een andere vector van derden de gegevensstroom door Hotjar of FullStory kan onderscheppen zonder medeweten van de recording-tool of enige zichtbare verandering in het gedrag van de tool.

Van buitenaf draait Hotjar nog steeds. De toestemmingsbanner identificeert Hotjar correct. De cookies die door Hotjar zijn geplaatst zijn aanwezig. Niets in standaard monitoring- of audittools signaleert een anomalie. Maar de gegevens die worden opgenomen gaan niet langer alleen naar de servers van Hotjar: een tussenliggende functie kopieert ze naar een eindpunt van derden voordat ze Hotjar bereiken.

Dit is een technisch geavanceerde aanval, maar vereist slechts de mogelijkheid om een klein JavaScript-fragment in de pagina te injecteren, wat elke GTM-container met voldoende rechten kan doen.

Shadow recording-tools: de tool was nooit geautoriseerd

De derde faalmodus vereist geen wijziging van een legitieme tool. Een marketingteam voegt via GTM een analytics- of heatmapscript van derden toe, in de overtuiging dat het een standaard UX-tool is. Het script bevat session recording-functionaliteit die niet werd vermeld in de documentatie van de tool of die na de eerste evaluatie aan de tool is toegevoegd. Als alternatief laadt een gecompromitteerd affiliate script een session recorder als secundaire payload.

In beide gevallen heeft het consent management platform van de operator toestemming verleend voor een benoemde lijst van tools. De niet-gedisclosede recorder staat niet op die lijst. Toestemming voor Hotjar strekt zich niet uit tot een niet-gerelateerde session recorder die wordt geladen door een script dat vertrouwd werd omdat het iets anders leek te zijn.

cside detecteerde meer dan 300.000 aanvalssignalen op gemonitorde sites in Q1 2025, en een significante categorie hiervan betreft scripts die gegevensverzoeken doen aan eindpunten die geen deel uitmaakten van een goedgekeurde leveranciersintegratie.

Kort antwoord: Cookie consent management platforms werken op de aanname dat benoemde, goedgekeurde tools zich gedragen zoals beschreven op het moment van toestemming. Ze kunnen geen gecompromitteerde versie van een goedgekeurde tool, een onderschepte functie via een geïnjecteerd script, of een shadow tool geladen als secundaire payload detecteren. Toestemming wordt verleend voor een toolnaam, niet voor een specifieke binary.

Dit is de fundamentele kloof die complianceteams vaak te laat ontdekken. Cookie consent platforms zoals OneTrust, TrustArc of Cookiebot onderhouden een lijst van goedgekeurde leveranciers. Wanneer een gebruiker toestemming geeft voor analytics-cookies, wordt toestemming uitgebreid naar de tools op die lijst. Het consent management platform heeft geen mechanisme om te verifiëren dat de JavaScript die onder de naam van Hotjar draait dezelfde code is die werd geëvalueerd toen Hotjar werd goedgekeurd.

De rechtsgrond voor verwerking verzameld door session recording-tools in de gokcontext is doorgaans toestemming onder GDPR Artikel 6(1)(a). Die toestemming is specifiek: het dekt de gegevens verzameld door Hotjar, zoals beschreven aan de gebruiker. Het dekt geen monkey-patched versie van Hotjar die dezelfde gegevensstroom onderschept. Het dekt geen shadow recorder die naast Hotjar wordt geladen zonder disclosure.

Onder het dataminimalisatieprincipe van GDPR Artikel 5 zijn operators verantwoordelijk voor het waarborgen dat persoonsgegevens niet verder worden verwerkt dan noodzakelijk voor het opgegeven doel. Een session recording-tool die financiële gegevens vastlegt buiten zijn gedisclosede bereik, hetzij door misconfiguratie of compromittering, verwerkt gegevens buiten het goedgekeurde doel. De operator is de verwerkingsverantwoordelijke. De aansprakelijkheid ligt bij de operator, niet bij de leverancier van de recording-tool.

GDPR Artikel 33 vereist melding aan de toezichthoudende autoriteit binnen 72 uur nadat men zich bewust is geworden van een persoonlijk datalek. Als een operator geen zicht heeft op wat zijn session recording-tools daadwerkelijk vastleggen en verzenden, kan hij niet op de hoogte zijn van een inbreuk totdat er aanzienlijke schade is opgetreden. De handhavingsactie van de ICO tegen British Airways, die resulteerde in een boete van £20 miljoen, volgde precies dit patroon: een compromittering van een script van derden die onopgemerkt bleef omdat de operator geen runtime-zicht had op wat scripts op zijn boekingspagina daadwerkelijk deden.

Hoe cside anomaal gedrag van session recorders detecteert

Kort antwoord: cside instrueert elke echte gebruikerssessie in de browser en observeert wat elk script daadwerkelijk uitvoert tijdens runtime. Voor session recording-tools betekent dit het detecteren van nieuwe API-eindpunten die worden aangeroepen door het recording-script, gewijzigde gegevensbestemmingen, uitgebreid opnamebereik op pagina's die eerder niet werden gedekt, en secundaire payloads geladen door de recording-tool zelf. Deze signalen zijn in realtime beschikbaar, niet achteraf.

De detectiebenadering die cside gebruikt voor anomalieën in session recording-tools verschilt van alles wat consent management of netwerklaagmonitoring biedt. Omdat cside in de browser draait op elke sessie, observeert het wat elk script daadwerkelijk doet, niet slechts of het aanwezig is.

Voor session recording-tools specifiek omvatten de signalen die cside monitort:

Nieuwe uitgaande netwerkverzoeken van een bekende recording-tool: Als Hotjar, dat historisch alleen hog.is-eindpunten aanriep, plotseling verzoeken begint te doen aan een onbekend domein, is dat een hoogprioritaire melding.
Gewijzigde gegevensbestemming: Een recording-tool die eerder gegevens naar een bekend leverancierseindpunt stuurde en nu naar een ander IP of domein routeert, ook als het domein plausibel lijkt, activeert een melding.
Gewijzigd opnamebereik: Als een session recording-tool formulierveldwaarden begint vast te leggen op pagina's waar hij ze eerder maskeerde, is de gedragsverandering waarneembaar op uitvoeringsniveau.
Secundair script laden: Als een session recording-tool aanvullende scripts begint te laden die er eerder niet aan waren gekoppeld, is dit een indicator van monkey-patching of supply chain-compromittering die de tool zelf treft.
Nieuwe scripts die recording-achtige API-aanroepen doen: Een script dat niet eerder als session recorder was geclassificeerd maar aanroepen begint te doen die consistent zijn met DOM-vastlegging en gegevensexfiltratie, wordt gesignaleerd als een niet-herkende tool met hoogrisicogedrag.

Naast detectie geven de per-leverancier toestemmingsprofielen van cside operators directe controle over wat session recording-tools mogen doen. Operators kunnen een session recording-leverancier de toegang tot wachtwoordvelden, betalingsformuliervelden of de Payment Request API op browserniveau blokkeren. Deze beperking wordt gehandhaafd zelfs als de code van de leverancier vervolgens wordt gecompromitteerd: een gehijackte session recorder kan geen velden bereiken waartoe hij de toegang is geweigerd, ongeacht welke kwaadaardige code erin is geïnjecteerd.

Deze runtime-gedragsbenadering betekent dat de detectie niet afhankelijk is van het vooraf weten dat een specifieke tool is gecompromitteerd. Anomaai gedrag wordt gesignaleerd wanneer het optreedt, niet wanneer een threat intelligence feed een regel publiceert over een bekende compromittering.

Voor complianceteams bij gelicentieerde iGaming-operators is de praktische waarde de mogelijkheid om doorlopende monitoring van persoonsgegevensverwerking door tools van derden aan te tonen. Dit is direct relevant voor verantwoordingsverplichtingen onder GDPR Artikel 5(2) en voor de data protection by design-vereisten in Artikel 25. Documentatie van actieve monitoring is een materiële factor in hoe toezichthouders de proportionaliteit van sancties beoordelen wanneer incidenten zich voordoen.

Wat we vonden in de session recording-stack van een Britse operator

Bij de implementatie van cside bij een in het VK gelicentieerd online casino eerder dit jaar was de aanvankelijke zorg van het complianceteam eenvoudig: ze wilden bevestigen dat Hotjar formuliervelden op de stortingspagina correct maskeerde. Wat de telemetrie op sessieniveau naar voren bracht, ging verder. Binnen de eerste 48 uur na het starten van browserlaaagmonitoring identificeerde cside een tweede recording-tool die werd uitgevoerd op de registratie- en stortingspagina's waarvan de operator geen registratie had. De tool was niet gedeclareerd in het consent management platform, niet in de leverancierslijst van de operator, en niet in enige DPA die het complianceteam in het dossier had.

Het traceren van de scriptoorsprong identificeerde een affiliate tracking-snippet die acht maanden eerder aan de GTM-container was toegevoegd. Verborgen in een afhankelijk script geladen door die affiliate-tag was een session recorder, niet het primaire product van de affiliate maar een analytics-add-on die was opgenomen in een kleine versie-update van de JavaScript-SDK van de affiliate. De recorder had sessiegebeurtenissen gestuurd, inclusief gedeeltelijk zichtbare formulierveldwaarden, naar een eindpunt dat de operator niet herkende gedurende de gehele periode van acht maanden.

Het complianceteam initieerde binnen 24 uur na identificatie een Artikel 33-beoordeling. De sessielogboeken van cside leverden de exacte eerste-voorkomenstimestamp, het aantal getroffen sessies en het bestemmingseindpunt op, waardoor de DPO de melding nauwkeurig kon afbakenen in plaats van schattingen te maken. Het affiliate script werd verwijderd, de leverancier werd geïnformeerd, en de operator actualiseerde hun scriptgovernanceproces om expliciete beoordeling van elke affiliate SDK-update te vereisen vóór implementatie. De monitoring die het probleem aan het licht bracht, werd vervolgens het bewijsspoor voor de inbreukbeoordeling.

Samenvatting

Session recording-tools dragen een hoger risicoprofiel op goksites dan op de meeste andere webeigenschappen vanwege de gevoeligheid van de gegevens die toegankelijk zijn tijdens spelersessies: KYC-documenten, financiële transactiegegevens, disclosures over verantwoord gokken. De drie faalmodi, misconfiguratie, monkey-patching en shadow recorders, kunnen elk die gegevens blootstellen zonder enige melding te activeren in conventionele beveiligingsmonitoring. Cookie consent platforms beheren wat ze worden verteld, niet wat daadwerkelijk wordt uitgevoerd. Netwerklaagtools zien dat Hotjar is geladen, niet wat het heeft verzonden of wat de gegevensstroom heeft onderschept. De enige detectielaag die werkt op het niveau van de aanval is een laag die de uitvoeringsomgeving van de browser direct instrueert, over elke sessie, en gedragsafwijkingen in realtime signaleert. cside's Privacy Watch biedt dat runtime-zicht op wat session recording-tools daadwerkelijk vastleggen en verzenden, terwijl de client-side beveiligingsmogelijkheid de supply chain- en injectievectoren aanpakt die consent- en netwerktools niet kunnen bereiken.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Ja, met passende toestemming en configuratie. De rechtsgrond is doorgaans gebruikerstoestemming onder GDPR Artikel 6(1)(a), en operators moeten ervoor zorgen dat maskeringscontroles gevoelige persoons- en financiële gegevens van vastlegging uitsluiten. Het probleem is niet de tool zelf, maar of de tool correct is geconfigureerd, of die configuratie in de loop van de tijd wordt gehandhaafd, en of de code die onder de naam van de tool wordt uitgevoerd daadwerkelijk de geautoriseerde versie is.

Financieel gedragsgegevens, inclusief stortingsbedragen, opnameverzoeken en inzetwaarden, dragen verhoogde gevoeligheid. Identiteitsverificatiegegevens ingediend voor KYC, disclosures over verantwoord gokken, en alle gezondheidsgerelateerde gegevens met betrekking tot zelfuitsluiting of beoordelingen van probleemgokken zijn allemaal hoogrisico-categorieën. Sessietokens, indien vastgelegd, kunnen accountovername mogelijk maken zonder enige aanvullende inloggegevencompromittering.

De operator, als verwerkingsverantwoordelijke, draagt de primaire aansprakelijkheid. De operator heeft een plicht onder GDPR Artikel 28 om ervoor te zorgen dat verwerkers binnen overeengekomen voorwaarden opereren, en een verplichting onder Artikel 25 om technische maatregelen te implementeren die gegevensbescherming door ontwerp en standaard waarborgen. Een compromittering van een tool die de operator heeft ingezet, wordt behandeld als een falen van de technische controles van de operator, ongeacht welke partij de kwaadaardige code heeft geïntroduceerd.

Onder UK GDPR Artikel 33 is melding aan de ICO vereist binnen 72 uur nadat men zich bewust is geworden van een persoonlijk datalek dat een risico vormt voor de rechten en vrijheden van personen. De 72-uurs klok start vanaf het moment van bewustwording, niet het moment van compromittering. Operators zonder runtime-zicht op het gedrag van session recording-tools worden mogelijk pas bewust wanneer het lek al goed gevestigd is.

Nee. cside werkt als een complementaire beveiligingslaag, geen vervanging voor consent management. Consent management platforms behandelen de rechtsgrond voor verwerking. cside behandelt runtime-verificatie dat de tools die onder goedgekeurde namen opereren daadwerkelijk gedragen zoals verwacht. De twee lossen verschillende problemen op: consent management beantwoordt of u toestemming hebt om een tool uit te voeren; cside beantwoordt of de tool doet wat hij toestemming had om te doen.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Hoe DeepSeekBot op Je Website te Blokkeren

DeepSeekBot crawlt je site voor een Chinees AI-bedrijf. Leer hoe je het blokkeert met robots.txt, IP-regels en de echte datasoevereiniteitsrisico's.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptcompliance voor de Malta Gaming Authority

Malta Gaming Authority-naleving en client-side scriptbeveiliging: wat MGA-gelicentieerde operators moeten afdekken

MGA-regels vereisen een veilig, controleerbaar platform. JavaScript van derden is een nalevingslacune die de meeste operators niet hebben geauditeerd.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over aanvallen via scripts van derden op iGaming-platforms

Scriptaanvallen van derden op iGaming-platforms in 2026: het nieuwe aanvalsoppervlak dat operators over het hoofd zien

JavaScript van derden is het grootste onbewaakte aanvalsoppervlak op iGaming-platforms. De zeven aanvalsklassen en waarom standaardtools ze missen.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

HIPAA-naleving voor websitetracering: de gids voor zorginstellingen over scripts van derden

HHS OCR stelde vast dat trackingpixels en scripts van derden op zorgwebsites PHI kunnen blootstellen. Dit moeten gedekte entiteiten doen om te voldoen.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.