Blog

Riscos de segurança e conformidade em marketplaces de anúncios

Para empresas que monetizam por meio de modelos de marketplace de anúncios, as redes de publicidade de terceiros, plataformas de analytics e scripts de marketing são indispensáveis. Eles são necessários para gerar receita, aumentar o engajamento e rastrear o comportamento dos usuários.

Dec 23, 2024 • 6 min read

Simon Wijckmans Founder & CEO

Mas eles também trazem riscos no lado do cliente.

Estamos falando de injeções maliciosas de anúncios, esquemas de phishing e vulnerabilidades em scripts de terceiros que são cada vez mais explorados por atacantes.

Estudos como o Verizon 2024 Data Breach Investigations Report (DBIR) e a Pesquisa de Risco Empresarial da Forrester enfatizam que vulnerabilidades na cadeia de fornecimento digital — incluindo dependências de terceiros — são uma das principais causas das violações de dados modernas.

E isso acontece porque esses scripts têm total liberdade no navegador dos seus usuários. Eles podem, essencialmente, carregar qualquer coisa que quiserem e alterar completamente a experiência do visitante.

Nosso objetivo é destacar as melhores práticas para proteger os dados dos usuários finais e garantir conformidade contínua. Mesmo sob pressão para maximizar a receita com anúncios. Um não precisa excluir o outro.

Quais são exatamente essas ameaças

Scripts maliciosos: Os modelos de marketplace de anúncios dependem de rotação frequente de scripts para analytics e renderização de anúncios. Agentes mal-intencionados aproveitam esses ambientes dinâmicos para incorporar malware ou interceptar dados. Como o DBIR indica, a injeção maliciosa via servidores de anúncios ou manipulação direta de scripts continua sendo um dos principais vetores de infiltração.
Roubo de credenciais e exploits: O DBIR destaca como phishing, credenciais roubadas e exploração de vulnerabilidades figuram cada vez mais entre as principais causas de violações. Os atacantes se aproveitam de plataformas de marketing e scripts sem supervisão para executar movimentos rápidos em direção a áreas mais sensíveis do site.
Explosão dos ecossistemas de terceiros: A pesquisa da Forrester sobre risco de terceiros mostra que a dependência excessiva de fornecedores complicou a gestão de riscos, com 25% das empresas atribuindo o aumento do risco de segurança às suas redes de terceiros em expansão. No entanto, por razões que incluem restrições de recursos e prioridades concorrentes, menos da metade das empresas avalia sequer 50% de seus relacionamentos com terceiros.
Uso de tecnologias modernas: Como a Forrester observa, muitas empresas não consideram o gerenciamento de risco de terceiros (TPRM) uma prioridade de alto nível, apesar de exploits de zero-day como o MOVEit evidenciarem fragilidades na cadeia de fornecimento. A supervisão manual não acompanha a natureza dinâmica dos ecossistemas digitais modernos, permitindo que vulnerabilidades no lado do cliente passem despercebidas.

Como isso se aplica no universo dos marketplaces de anúncios

A dependência de redes de anúncios externas e provedores de tecnologia de marketing torna as plataformas de marketplace de anúncios — e quem as integra — alvos preferenciais para atacantes. A Forrester menciona especificamente que finanças, manufatura e grandes corporações multinacionais apresentam risco elevado, mas não priorizam consistentemente a segurança de terceiros.

Empresas que operam internacionalmente se deparam com variações nos marcos regulatórios. Negócios na região EMEA, por exemplo, enfrentam exigências mais rigorosas por meio do Digital Operational Resilience Act (DORA) da União Europeia e do GDPR.

Enquanto isso, organizações na América do Norte e na APAC registraram quedas acentuadas na preocupação com TPRM, apesar do aumento contínuo de scripts de anúncios e infraestrutura transfronteiriços. Essa lacuna regulatória frequentemente resulta em uma triagem inconsistente de fornecedores.

E, claro, negligenciar os relacionamentos com terceiros pode gerar todo tipo de problema: prejuízos à receita, multas por não conformidade ou até ações coletivas após violações de dados. Uma vez que os atacantes se instalam no lado do cliente, eles podem extrair dados de consumidores ou sequestrar campanhas com relativa facilidade — e provavelmente sem ser notados.

Como resolver isso

Para fortalecer o gerenciamento de riscos no lado do cliente e de terceiros, as organizações precisam adotar uma abordagem estruturada e proativa.

Primeiro, mantenha um registro abrangente e atualizado regularmente de todos os parceiros de analytics e ad-tech. Cada fornecedor deve ser avaliado com base no acesso que tem a dados sensíveis dos usuários e na dependência de receita que a organização tem de seus serviços.

A automação pode desempenhar um papel importante nas avaliações de fornecedores. Qualquer organização que gerencie redes extensas de scripts de terceiros deve implementar plataformas robustas de TPRM ou de governança, risco e conformidade. Essas ferramentas oferecem avaliação contínua e simplificam a supervisão, indo além de checklists estáticos e anuais para um monitoramento dinâmico e em tempo real. E economiza muito tempo, o que economiza muito dinheiro.

No lado do cliente, há diversas opções no mercado. Desenvolvemos uma solução baseada em proxy que garante visibilidade sobre os scripts de anúncios enquanto eles são executados. Isso permite a detecção e o bloqueio de injeções maliciosas em tempo real — algo que nem todas as ferramentas conseguem oferecer.

Como padrão, a autenticação multifator (MFA) deve ser obrigatória para todos os logins administrativos, e as credenciais de plataformas de terceiros devem ser segmentadas. Implantar ferramentas de detecção de phishing em toda a equipe também aumenta a resiliência.

Alinhar os investimentos em segurança com os riscos reconhecidos é igualmente importante. Organizações que reconhecem a exposição a terceiros têm mais chances de garantir orçamentos maiores para gestão de riscos. Use esse impulso para financiar plataformas de TPRM e ferramentas de inspeção de código.

Considerações finais

A monetização do seu marketplace de anúncios provavelmente está em risco pela própria natureza de sua implementação no seu site. Não é um bug, é uma característica. Simplesmente faz parte do território. Afinal, é esse o ambiente do lado do cliente.

Aqui está o que você deve levar deste artigo.

Priorize a segurança no lado do cliente para proteger esses scripts e, consequentemente, seus usuários e a si mesmo. Use uma ferramenta como o cside para monitorar continuamente o comportamento desses scripts de terceiros e identificar qualquer tentativa maliciosa.

Enquanto isso, crie um inventário desses scripts de terceiros (o que o cside faz por você) e certifique-se de avaliar bem seus parceiros.

O seu sucesso contínuo caminha lado a lado com a segurança do seu site. Preste atenção a cada etapa da cadeia de fornecimento web e garanta que seus visitantes e usuários possam navegar pelas suas páginas com segurança.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.