Blog Attacks

Ferramentas de Session Recording em Sites de Jogo: O Risco de Exfiltração de PII que os Operadores Estão a Ignorar

Ferramentas de session recording em sites de jogo podem exfiltrar PII de jogadores quando mal configuradas ou comprometidas. Eis as três formas.

Jun 24, 2026 • 14 min read

Mike Kutlu Client-Side Security Consultant

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre ferramentas de gravação de sessão e risco de exfiltração de PII

As ferramentas de session recording são equipamento padrão na stack de análise do operador iGaming. Hotjar, FullStory e Microsoft Clarity são usados diariamente pelas equipas de UX e CRO para compreender as jornadas dos jogadores, identificar fricção nos fluxos de registo e optimizar os funis de depósito. A maioria das equipas de conformidade aprovou estas ferramentas quando foram integradas pela primeira vez. O que as equipas de conformidade não revêem regularmente é o que essas ferramentas estão a fazer agora, quem controla o código que corre sob o seu nome e se algum desse código foi modificado desde a aprovação original. O relatório IBM 2024 Cost of a Data Breach coloca o custo médio global de uma violação de dados em 4,88 milhões de dólares. Para um operador de jogo licenciado, some a dimensão regulatória e o valor sobe ainda mais.

O Que as Ferramentas de Session Recording Realmente Recolhem em Sites de Jogo

Resposta Rápida: As ferramentas de session recording em sites de jogo recolhem dados muito mais sensíveis do que em sites de comércio electrónico típicos. Endereços de e-mail, números de telefone, montantes de depósito, padrões de levantamento e tokens de sessão dos jogadores estão todos potencialmente dentro do âmbito de gravação. O perfil de dados de maior risco dos utilizadores de jogo torna qualquer incidente de exfiltração significativamente mais grave do que uma violação de dados de consumidor padrão.

Num website de retalho genérico, um gravador de sessão mal configurado pode capturar o nome e a morada de entrega de um utilizador. Num site de jogo, o âmbito do que é acessível a uma ferramenta de gravação é consideravelmente mais sensível.

Durante uma sessão típica de jogador, uma ferramenta de session recording com amplo acesso ao DOM pode observar:

Endereços de e-mail e números de telefone introduzidos durante o registo ou verificação de conta
Data de nascimento e detalhes de documentos de identidade submetidos para KYC
Montantes de depósito, selecções de método de pagamento e pedidos de levantamento
Histórico de apostas e valores de aposta visíveis no painel de conta do jogador
Valores de token de sessão presentes em URLs de página ou campos de formulário
Respostas a prompts de jogo responsável e divulgações de auto-exclusão

Ao abrigo do Artigo 4 do GDPR, tudo o que acima se refere constitui dados pessoais. Os dados de comportamento financeiro, dados relacionados com saúde (estado de jogo responsável) e dados de verificação de identidade carregam todos requisitos de protecção elevados. Para operadores de jogo sujeitos à jurisdição do ICO do Reino Unido, o precedente de execução da British Airways é directamente relevante: o ICO emitiu uma coima de 20 milhões de libras na sequência de uma violação que expôs dados de pagamento e pessoais de passageiros através de um script de terceiros comprometido injectado no fluxo de reserva.

O contexto do jogo amplifica o risco de duas formas específicas. Primeiro, os operadores de jogo detêm dados sobre a vulnerabilidade financeira dos jogadores que têm sensibilidade particular ao abrigo dos requisitos de proporcionalidade e minimização de dados do GDPR. Segundo, as licenças de jogo no Reino Unido, em Malta e noutras jurisdições impõem obrigações independentes de protecção de dados que podem combinar penalidades do GDPR com sanções ao nível da licença.

Três Formas Como as Ferramentas de Session Recording Correm Mal

Resposta Rápida: As ferramentas de session recording falham de três formas distintas: má configuração que expõe campos de PII que a ferramenta nunca foi destinada a capturar; monkey-patching, onde código injectado envolve o gravador legítimo para interceptar o seu fluxo de dados; e ferramentas de gravação shadow injectadas através de GTM ou scripts de afiliados sem qualquer autorização do operador. Os controlos de segurança padrão não detectam nenhum destes de forma fiável.

Má configuração: a ferramenta é legítima, a configuração não é

Os fornecedores de session recording fornecem controlos de mascaramento destinados a excluir campos de formulário sensíveis da captura. Na prática, estes controlos são aplicados de forma inconsistente. Uma alteração de configuração feita durante a reformulação de um fluxo de registo pode desmascarar acidentalmente campos que estavam previamente excluídos. Uma nova página adicionada ao funil de depósito pode não ter herdado as regras de mascaramento aplicadas às páginas originais.

A própria ferramenta está a fazer exactamente o que está configurada para fazer. A configuração é o problema, e a maioria das equipas de conformidade não tem visibilidade para a configuração da ferramenta de session recording ao nível do campo.

Monkey-patching: a ferramenta é legítima, o código não é

O monkey-patching é uma técnica JavaScript específica onde um script injectado envolve ou substitui uma função numa biblioteca carregada legitimamente. No contexto das ferramentas de session recording, isto significa que um script malicioso carregado via GTM, um pixel de afiliado ou qualquer outro vector de terceiros pode interceptar o fluxo de dados que passa pelo Hotjar ou FullStory sem o conhecimento da ferramenta de gravação ou qualquer alteração visível no comportamento da ferramenta.

Do exterior, o Hotjar ainda está a correr. O banner de consentimento identifica correctamente o Hotjar. Os cookies colocados pelo Hotjar estão presentes. Nada nas ferramentas de monitorização ou auditoria padrão sinaliza uma anomalia. Mas os dados que estão a ser gravados já não vão apenas para os servidores do Hotjar: uma função intermediária está a copiá-los para um endpoint de terceiros antes de chegarem ao Hotjar.

Este é um ataque tecnicamente sofisticado, mas requer apenas a capacidade de injectar um pequeno fragmento JavaScript na página, o que qualquer GTM container com permissões suficientes consegue fazer.

Ferramentas de gravação shadow: a ferramenta nunca foi autorizada

O terceiro modo de falha não requer modificação de qualquer ferramenta legítima. Uma equipa de marketing adiciona um script de análise ou de mapa de calor de terceiros via GTM, acreditando ser uma ferramenta UX padrão. O script inclui funcionalidade de session recording que não foi divulgada na documentação da ferramenta ou foi adicionada à ferramenta após a avaliação inicial. Em alternativa, um script de afiliado comprometido carrega um gravador de sessão como payload secundário.

Em ambos os casos, a plataforma de gestão de consentimento do operador concedeu consentimento para uma lista nomeada de ferramentas. O gravador não divulgado não consta dessa lista. O consentimento para o Hotjar não se estende a um gravador de sessão não relacionado carregado por um script que era de confiança porque parecia ser outra coisa.

O cside detectou mais de 300.000 sinais de ataque em sites monitorizados no primeiro trimestre de 2025, e uma categoria significativa destes envolve scripts que fazem pedidos de dados a endpoints que não faziam parte de qualquer integração de fornecedor aprovada.

Por Que Razão as Ferramentas de Consentimento de Cookies Não Detectam Isto

Resposta Rápida: As plataformas de gestão de consentimento de cookies operam com o pressuposto de que as ferramentas nomeadas e consentidas se comportam conforme descrito no momento do consentimento. Não conseguem detectar uma versão comprometida de uma ferramenta consentida, uma função interceptada por um script injectado ou uma ferramenta shadow carregada como payload secundário. O consentimento é concedido a um nome de ferramenta, não a um binário específico.

Esta é a lacuna fundamental que as equipas de conformidade frequentemente descobrem demasiado tarde. As plataformas de consentimento de cookies como OneTrust, TrustArc ou Cookiebot mantêm uma lista de fornecedores aprovados. Quando um utilizador consente nos cookies de análise, o consentimento é estendido às ferramentas dessa lista. A plataforma de gestão de consentimento não tem mecanismo para verificar que o JavaScript a correr sob o nome do Hotjar é o mesmo código que foi avaliado quando o Hotjar foi aprovado.

A base legal para o processamento recolhido por ferramentas de session recording no contexto do jogo é tipicamente o consentimento ao abrigo do Artigo 6(1)(a) do GDPR. Esse consentimento é específico: cobre os dados recolhidos pelo Hotjar, conforme descrito ao utilizador. Não cobre uma versão do Hotjar com monkey-patching que intercepta o mesmo fluxo de dados. Não cobre um gravador shadow carregado ao lado do Hotjar sem divulgação.

Ao abrigo do princípio de minimização de dados do Artigo 5 do GDPR, os operadores são responsáveis por garantir que os dados pessoais não são processados para além do necessário para o fim declarado. Uma ferramenta de session recording que está a capturar dados financeiros para além do seu âmbito divulgado, seja por má configuração ou comprometimento, está a processar dados fora do fim consentido. O operador é o responsável pelo tratamento. A responsabilidade recai sobre o operador, não sobre o fornecedor da ferramenta de gravação.

O Artigo 33 do GDPR exige notificação à autoridade supervisora no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais. Se um operador não tem visibilidade sobre o que as suas ferramentas de session recording estão efectivamente a capturar e a transmitir, não consegue ter conhecimento de uma violação antes de ocorrer um dano significativo. A acção de execução do ICO contra a British Airways, que resultou numa coima de 20 milhões de libras, envolveu precisamente este padrão: um comprometimento de script de terceiros que passou despercebido porque o operador não tinha visibilidade em runtime sobre o que os scripts na sua página de reserva estavam efectivamente a fazer.

Como o cside Detecta Comportamento Anómalo de Gravadores de Sessão

Resposta Rápida: O cside instrumenta cada sessão de utilizador real no browser, observando o que cada script efectivamente executa em runtime. Para as ferramentas de session recording, isto significa detectar novos endpoints de API chamados pelo script de gravação, destinos de dados alterados, âmbito de gravação expandido em páginas não previamente cobertas e payloads secundários carregados pela própria ferramenta de gravação. Estes sinais estão disponíveis em tempo real, não após o facto.

A abordagem de detecção que o cside usa para anomalias de ferramentas de session recording é diferente de qualquer coisa que a gestão de consentimento ou a monitorização ao nível da rede forneça. Como o cside corre dentro do browser em cada sessão, observa o que cada script efectivamente faz, não apenas se está presente.

Para ferramentas de session recording especificamente, os sinais que o cside monitoriza incluem:

Novos pedidos de rede de saída de uma ferramenta de gravação conhecida: Se o Hotjar, que historicamente chamou apenas endpoints hog.is, começa subitamente a fazer pedidos a um domínio desconhecido, esse é um alerta de alta prioridade.
Destino de dados alterado: Uma ferramenta de gravação que anteriormente enviava dados para um endpoint de fornecedor conhecido e agora encaminha para um IP ou domínio diferente, mesmo que o domínio pareça plausível, desencadeia um alerta.
Âmbito de gravação modificado: Se uma ferramenta de session recording começa a capturar valores de campos de formulário em páginas onde os mascarava previamente, a alteração comportamental é observável ao nível de execução.
Carregamento de scripts secundários: Se uma ferramenta de session recording começa a carregar scripts adicionais que não estavam previamente associados a ela, este é um indicador de monkey-patching ou comprometimento de supply chain que afecta a própria ferramenta.
Novos scripts a fazer chamadas de API semelhantes a gravação: Um script não previamente classificado como gravador de sessão que começa a fazer chamadas consistentes com captura de DOM e exfiltração de dados é apresentado como uma ferramenta não reconhecida com comportamento de alto risco.

Para além da detecção, os perfis de permissão por fornecedor do cside dão aos operadores controlo directo sobre o que as ferramentas de session recording têm permissão para fazer. Os operadores podem bloquear um fornecedor de session recording de aceder a campos de palavra-passe, campos de formulário de pagamento ou à Payment Request API na camada de browser. Esta restrição é aplicada mesmo que o código do fornecedor seja subsequentemente comprometido: um gravador de sessão sequestrado não consegue aceder a campos para os quais foi negada permissão, independentemente do código malicioso que lhe seja injectado.

Esta abordagem comportamental em runtime significa que a detecção não depende de saber antecipadamente que uma ferramenta específica foi comprometida. O comportamento anómalo é sinalizado quando ocorre, não quando um feed de inteligência de ameaças publica uma regra sobre um comprometimento conhecido.

Para as equipas de conformidade em operadores iGaming licenciados, o valor prático é a capacidade de demonstrar monitorização contínua do processamento de dados pessoais por ferramentas de terceiros. Isto é directamente relevante para as obrigações de responsabilidade ao abrigo do Artigo 5(2) do GDPR e para os requisitos de protecção de dados por design constantes do Artigo 25. A documentação da monitorização activa é um factor material na forma como as autoridades supervisoras avaliam a proporcionalidade das penalidades quando ocorrem incidentes.

O Que Encontrámos na Stack de Session Recording de um Operador do Reino Unido

Ao implementar o cside num casino online licenciado no Reino Unido no início deste ano, a preocupação inicial da equipa de conformidade era simples: queriam confirmar que o Hotjar estava a mascarar correctamente os campos de formulário na página de depósito. O que a telemetria ao nível de sessão apresentou foi mais aprofundado. Nas primeiras 48 horas de monitorização na camada de browser, o cside identificou uma segunda ferramenta de gravação a disparar nas páginas de registo e depósito da qual o operador não tinha registo. A ferramenta não estava declarada na plataforma de gestão de consentimento, não constava da lista de fornecedores do operador e não estava em nenhuma DPA que a equipa de conformidade tivesse em arquivo.

O rastreio da origem do script identificou um snippet de rastreamento de afiliados adicionado ao GTM container oito meses antes. Enterrado num script dependente carregado por essa tag de afiliado havia um gravador de sessão, não o produto principal do afiliado mas um add-on de análise que tinha sido incluído numa actualização de versão secundária do SDK JavaScript do afiliado. O gravador tinha estado a enviar eventos de sessão, incluindo valores de campos de formulário parcialmente visíveis, para um endpoint que o operador não reconhecia durante todo o período de oito meses.

A equipa de conformidade iniciou uma avaliação ao abrigo do Artigo 33 no prazo de 24 horas após a identificação. Os registos de sessão do cside forneceram o timestamp exacto da primeira ocorrência, o número de sessões afectadas e o endpoint de destino, o que permitiu ao DPO delimitar a notificação com precisão em vez de estimar. O script do afiliado foi removido, o fornecedor foi notificado e o operador actualizou o seu processo de governação de scripts para exigir revisão explícita de qualquer actualização de SDK de afiliado antes da implementação. A monitorização que revelou o problema tornou-se então a trilha de evidências para a avaliação da violação.

Resumo

As ferramentas de session recording têm um perfil de risco mais elevado em sites de jogo do que na maioria das outras propriedades web por causa da sensibilidade dos dados acessíveis durante as sessões dos jogadores: documentos KYC, dados de transacções financeiras, divulgações de jogo responsável. Os três modos de falha, má configuração, monkey-patching e gravadores shadow, são cada um deles capaz de expor esses dados sem desencadear qualquer alerta na monitorização de segurança convencional. As plataformas de consentimento de cookies gerem o que lhes é comunicado, não o que está efectivamente em execução. As ferramentas de camada de rede vêem que o Hotjar carregou, não o que enviou ou o que interceptou o seu fluxo de dados. A única camada de detecção que opera ao nível do ataque é aquela que instrumenta o ambiente de execução do browser directamente, em cada sessão, e sinaliza desvios comportamentais em tempo real. O Privacy Watch do cside fornece essa visibilidade em runtime sobre o que as ferramentas de session recording estão efectivamente a capturar e a transmitir, enquanto a sua capacidade de segurança do lado do cliente aborda os vectores de supply chain e de injecção que as ferramentas de consentimento e de rede não conseguem alcançar.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Sim, com consentimento e configuração adequados. A base legal é tipicamente o consentimento do utilizador ao abrigo do Artigo 6(1)(a) do GDPR, e os operadores devem garantir que os controlos de mascaramento excluem dados pessoais e financeiros sensíveis da captura. O problema não é a própria ferramenta mas se a ferramenta está correctamente configurada, se essa configuração é mantida ao longo do tempo e se o código a correr sob o nome da ferramenta é efectivamente a versão autorizada.

Os dados de comportamento financeiro, incluindo montantes de depósito, pedidos de levantamento e valores de aposta, têm sensibilidade elevada. Os dados de verificação de identidade submetidos para KYC, as divulgações de jogo responsável e quaisquer dados relacionados com saúde relativos a avaliações de auto-exclusão ou jogo problemático são todos categorias de alto risco. Os tokens de sessão, se capturados, podem permitir o sequestro de conta sem qualquer comprometimento adicional de credenciais.

O operador, como responsável pelo tratamento dos dados, carrega a responsabilidade primária. O operador tem um dever ao abrigo do Artigo 28 do GDPR de garantir que os subcontratantes operem dentro dos termos acordados, e uma obrigação ao abrigo do Artigo 25 de implementar medidas técnicas que garantam a protecção de dados por design e por defeito. Um comprometimento de uma ferramenta que o operador implementou é tratado como uma falha dos controlos técnicos do operador, independentemente de qual das partes introduziu o código malicioso.

Ao abrigo do Artigo 33 do UK GDPR, a notificação ao ICO é exigida no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais que represente um risco para os direitos e liberdades dos indivíduos. O prazo de 72 horas começa a partir do momento do conhecimento, não do momento do comprometimento. Os operadores sem visibilidade em runtime sobre o comportamento das ferramentas de session recording podem não tomar conhecimento até a violação já estar bem estabelecida.

Não. O cside funciona como uma camada de segurança complementar, não como um substituto para a gestão de consentimento. As plataformas de gestão de consentimento tratam da base legal para o processamento. O cside trata da verificação em runtime de que as ferramentas que operam sob nomes consentidos estão efectivamente a comportar-se como esperado. Os dois resolvem problemas diferentes: a gestão de consentimento responde se tem permissão para executar uma ferramenta; o cside responde se a ferramenta está a fazer o que lhe foi permitido fazer.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre ataques de scripts de terceiros em plataformas de iGaming

Ataques de script de terceiros em plataformas iGaming em 2026: a nova superfície de ataque que os operadores ignoram

JavaScript de terceiros é a principal superfície de ataque não monitorada no iGaming. Sete classes de ataque e por que as ferramentas as ignoram.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Conformidade HIPAA com tecnologias de rastreamento web: o guia para organizações de saúde

O OCR do HHS determinou que pixels de rastreamento e scripts de terceiros em sites de saúde podem expor PHI. O que as entidades cobertas precisam fazer para estar em conformidade.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.