Skip to main content
Blog
Blog Attacks

Shadow Tracking Pixels em Sites de Jogo: O Problema de Conformidade com GDPR e Publicidade que os Operadores Não Conseguem Ver

Pixels não autorizados do Facebook, TikTok ou LinkedIn em sites de jogo criam responsabilidade GDPR e bloqueio de contas de anúncios.

Jun 26, 2026 15 min read
Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels de rastreamento ocultos e risco de publicidade em sites de jogos
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Os operadores de jogo licenciados sabem que não podem publicitar no Facebook, TikTok ou LinkedIn. As políticas das plataformas proíbem a publicidade de jogo na maioria das jurisdições sem isenções específicas, e mesmo onde existem isenções, o targeting de adultos consentidos é fortemente regulado. O que muitos operadores não sabem é que pixels dessas mesmas plataformas podem já estar a disparar nos seus websites, colocados por scripts de afiliados, shadow tag manager containers ou ferramentas de marketing comprometidas, sem o seu conhecimento ou consentimento. No primeiro trimestre de 2025, o cside detectou mais de 300.000 sinais de ataque em sites monitorizados, com o disparo de pixels não first-party consistentemente entre as principais categorias apresentadas. O relatório IBM Cost of a Data Breach 2024 coloca o custo médio global de uma violação de dados em 4,88 milhões de dólares, um valor que não tem em conta as suspensões de conta publicitária e as acções de execução regulatória que os shadow pixels especificamente podem desencadear para operadores de jogo. Este não é apenas um problema de segurança. É simultaneamente um risco de execução ao abrigo do GDPR e um risco de conformidade com as políticas das plataformas de publicidade. Ao trabalhar com operadores de jogo licenciados, tenho verificado que os shadow pixels são quase sempre a exposição de conformidade que ninguém planeou, colocados por scripts que ninguém na equipa de segurança sabia que estavam a correr.

Como os Shadow Pixels Chegam a Sites de Jogo

Resposta Rápida: Os shadow pixels chegam a sites de jogo por três rotas principais: JavaScript de afiliados que incorpora um pixel como parte da sua stack de rastreamento, shadow GTM containers adicionados por equipas de marketing ou agências que incluem tags de pixel de plataformas sociais e comprometimento de supply chain de bibliotecas de terceiros que injectam código de pixel sem o conhecimento do operador. Em todos os casos, o pixel dispara para os jogadores sem que o seu consentimento tenha sido recolhido para esse fim.

Compreender a mecânica é o primeiro passo para abordar a responsabilidade. Um shadow pixel não é plantado por um atacante sofisticado da forma como um skimmer Magecart é. Mais frequentemente, chega através de processos operacionais de rotina que não têm supervisão de segurança.

As três rotas mais comuns para plataformas iGaming:

  • Scripts de rastreamento de afiliados: uma rede de afiliados fornece um snippet JavaScript que dispara um postback no registo ou depósito do jogador. Dentro desse snippet, seja explicitamente ou através de uma dependência que o afiliado inclui, há uma chamada de Facebook Pixel ou TikTok Pixel. O pixel dispara com um ID de pixel não first-party, o que significa que os dados vão para uma conta publicitária que não é sua. Os dados do browser do jogador, incluindo endereço IP e sinais comportamentais, são enviados para a plataforma.

  • Shadow GTM containers: tal como coberto em detalhe separadamente, um GTM container não autorizado pode publicar qualquer tag, incluindo pixels de plataformas sociais. Um gestor de marketing ou funcionário de agência adiciona um container a um ou mais domínios de casino, publica uma tag de TikTok Pixel no seu interior, e o pixel começa a disparar em todas as sessões de jogadores nesses domínios. A segurança não está no circuito.

  • Comprometimento de supply chain: uma biblioteca JavaScript usada para análise de sessão, widgets de chat ou testes A/B é comprometida por um terceiro que adiciona código de carregamento de pixel a uma actualização de versão secundária. A divulgação do Polyfill.js pela Sansec em Junho de 2024 demonstrou que mais de 490.000 sites podiam ser simultaneamente afectados por um único script comprometido hospedado em CDN. O mesmo vector pode entregar payloads de pixel.

Nos três cenários, o pixel dispara em dispositivos de jogadores e envia dados para uma plataforma de publicidade social. O operador não autorizou isto. O jogador não consentiu nisto para este fim. E nem o operador nem o jogador sabe que está a acontecer.

Por Que Razão os Shadow Pixels São Invisíveis para Ferramentas de Camada de Rede

Resposta Rápida: As chamadas de pixel são pedidos HTTPS padrão para domínios como facebook.com, tiktok.com ou linkedin.com, todos eles destinos legítimos e amplamente de confiança que as ferramentas de camada de rede não sinalizam. O pedido parece idêntico quer origine de um pixel first-party autorizado quer de um shadow pixel instalado sem consentimento. Apenas a monitorização na camada de browser consegue distinguir entre eles examinando qual o script que iniciou o pedido e qual o ID de pixel que transportava.

Esta invisibilidade é o que torna os shadow pixels um risco de conformidade persistente em vez de uma anomalia detectável. Os logs de rede mostrarão pedidos de saída para facebook.com/tr/, analytics.tiktok.com ou px.ads.linkedin.com. Estes são domínios esperados e legítimos que aparecem no tráfego de rede de milhões de websites. Não há nenhuma assinatura a bloquear.

O que as ferramentas de rede não conseguem determinar:

  • Qual o script na página que iniciou a chamada de pixel
  • Se o ID de pixel no pedido pertence ao operador ou a um terceiro
  • Se um sinal de consentimento válido foi recolhido para esta transferência de dados específica antes do pixel disparar
  • Se o pixel está a disparar em todas as sessões ou apenas em segmentos específicos de utilizadores

Uma regra de firewall padrão ou inspecção ao nível de CDN vê: GET https://www.facebook.com/tr/?id=XXXXXXXXXX&ev=PageView. Não tem nenhum mecanismo para cruzar esse ID de pixel com uma lista aprovada, ou para verificar se o script que fez a chamada foi autorizado pelo operador do site.

A Content Security Policy também não ajuda. A CSP permite ou bloqueia domínios, não IDs de pixel individuais ou os scripts que os carregam. connect-src facebook.com é uma permissão binária. Não consegue distinguir entre um pixel autorizado e um shadow pixel do mesmo domínio.

A Responsabilidade Dupla: GDPR e Política das Plataformas de Publicidade

Resposta Rápida: Os shadow pixels em sites de jogo criam duas exposições legais simultâneas. Ao abrigo do Artigo 5 do GDPR, recolher e transferir dados comportamentais dos jogadores para redes de publicidade de terceiros sem uma base legal válida e consentimento adequado é uma violação da protecção de dados. A coima de 20 milhões de libras do ICO à British Airways ilustra os riscos de execução. Separadamente, as plataformas de publicidade cujos pixels estão a disparar podem suspender ou banir as contas publicitárias do operador quando é detectada actividade de pixel relacionada com jogo em domínios não conformes.

Estas duas responsabilidades são independentes. Resolver uma não resolve a outra. E ambas podem materializar-se a partir do mesmo pixel não autorizado a disparar no seu site.

A dimensão do GDPR:

O Artigo 5 do GDPR exige que os dados pessoais sejam tratados de forma lícita, equitativa e transparente. Quando um pixel dispara e envia o endereço IP, identificadores de dispositivo e dados comportamentais de um jogador para uma plataforma de publicidade social, isso é uma transferência de dados pessoais. Para que seja lícita, o operador precisa de uma base válida, tipicamente consentimento explícito recolhido antes do pixel disparar. Se o pixel foi colocado sem o conhecimento do operador, nenhum mecanismo de consentimento foi configurado para ele. Cada sessão em que o pixel dispara é uma potencial violação do GDPR.

O contexto de execução não é abstracto. O Information Commissioner's Office do Reino Unido multou a British Airways em 20 milhões de libras por falhas que permitiram que scripts de terceiros recolhessem dados de passageiros. Embora esse caso envolvesse recolha de credenciais em vez de pixels especificamente, o princípio regulatório é idêntico: é responsável pelo que o JavaScript executa no seu domínio e pelos dados que envia a terceiros. O desconhecimento da existência do pixel não é uma defesa.

A dimensão da política das plataformas de publicidade:

O Facebook, TikTok e LinkedIn proíbem os operadores de jogo de publicitar nas suas plataformas na maioria dos mercados, ou exigem aprovação de categoria restrita específica. Quando um shadow pixel dispara num site de jogo, liga o domínio do operador a um ID de pixel associado a uma conta publicitária. Se a plataforma detectar actividade de pixel relacionada com jogo proveniente de um domínio não aprovado, a conta publicitária associada pode ser suspensa. Isto pode ter consequências significativas se o operador executar campanhas publicitárias legítimas nessa plataforma para produtos não relacionados com jogo ou em mercados aprovados, pois toda a conta pode estar em risco.

A natureza dupla desta responsabilidade significa que as equipas de conformidade, os DPOs e as equipas de operações de marketing têm todos interesse em detectar shadow pixels. Não é apenas um problema de segurança ou engenharia.

Tipo de responsabilidadeOrganismo regulatório / execuçãoConsequência potencial
Transferência de dados GDPR sem consentimentoICO (Reino Unido), APDs nacionais (UE)Coimas até 4% do volume de negócios global anual
Violação da política da plataforma de publicidadeFacebook, TikTok, LinkedInSuspensão ou banimento permanente da conta publicitária
Exposição combinadaAmbas simultaneamenteCoima regulatória mais perda de capacidade publicitária

Como o cside Detecta IDs de Pixel Não First-Party em Todas as Sessões

Resposta Rápida: O cside instrumenta 100% das sessões de utilizadores reais na camada de browser e identifica cada script que dispara, cada pedido de rede que esses scripts fazem e cada ID de pixel contido nesses pedidos. Quando é detectado um ID de pixel que não corresponde ao inventário de pixels autorizados do operador, o cside levanta um alerta com o contexto completo: qual o script que o desencadeou, para que domínio foi enviado e quais as páginas e segmentos de utilizadores que foram expostos.

A abordagem do cside à detecção de pixels vai além de identificar que foi feito um pedido a um domínio de plataforma social. Apresenta o ID de pixel no pedido, mapeia-o para o script que o disparou e identifica o contexto de container ou tag manager que carregou esse script.

Para uma plataforma de jogo multi-marca, isto significa:

  • Um inventário unificado de IDs de pixel em todos os domínios: o cside mostra cada ID de pixel distinto observado a disparar, por domínio, actualizado em tempo real
  • Classificação first-party versus third-party: os IDs de pixel autorizados são inscritos no inventário de scripts da plataforma; qualquer ID de pixel fora da lista aprovada desencadeia um alerta
  • Atribuição de script: para cada evento de shadow pixel, o cside identifica o script exacto que fez a chamada, seja um snippet JS de afiliado, uma tag dentro de um GTM container ou uma biblioteca de terceiros modificada
  • Validação de timing de consentimento: o cside pode apresentar se um pixel disparou antes ou depois de uma interacção de consentimento, o que é directamente relevante para demonstrar conformidade com o GDPR ou identificar violações
  • Cobertura de 100% das sessões: como o cside monitoriza cada sessão em vez de amostrar, captura a implementação de pixel direccionada geograficamente ou por segmento que uma monitorização por amostragem perderia estatisticamente

As abordagens de monitorização baseadas em proxy interceptam o tráfego na camada de rede antes de chegar ao browser. Isto apresenta alguma actividade de pixel mas não consegue observar o contexto de execução JavaScript completo: especificamente, qual o script que carregou o pixel, em que container e sob que condições de trigger. As abordagens de proxy de rede também têm limitações de amostragem inerentes em plataformas de alto tráfego.

Para além da detecção, o cside fornece controlo de permissões por fornecedor. Um fornecedor de pixel de análise ou atribuição pode ser atribuído a um perfil de permissão que bloqueia o seu acesso à Payment Request API, escritas de cookie ou localStorage, aplicado na camada de browser. Isto significa que mesmo que o código de um fornecedor de pixel seja posteriormente comprometido, um script de pixel sequestrado não consegue aceder a campos de pagamento ou dados de sessão porque o perfil de permissão o impede independentemente do que o script tente fazer.

Na nossa monitorização de operadores de jogo licenciados, o disparo de pixel não autorizado é uma das exposições de conformidade mais comuns que apresentamos na primeira implementação. Os operadores tipicamente desconhecem que os pixels estão a disparar porque o domínio de pixel (facebook.com, analytics.tiktok.com) aparece nos logs de rede como um destino de rotina e esperado. Sem atribuição na camada de browser que ligue o pedido a um script específico e container, não há mecanismo para determinar se o ID de pixel pertence ao operador ou a um terceiro.

O Que uma Primeira Sessão de Monitorização Encontra numa Plataforma de Jogo

Quando executámos a primeira sessão de monitorização do cside numa grande plataforma europeia multi-marca de jogo online no início deste ano, a preocupação imediata da equipa de conformidade era o GDPR. O que o inventário na camada de browser apresentou no primeiro dia foi mais específico do que esperavam. No domínio de marca inicial monitorizado, o cside identificou múltiplos pixels de plataformas sociais a disparar em páginas ao vivo de jogadores, com IDs de pixel que não pertenciam ao operador. Os pixels tinham chegado através de snippets JavaScript de afiliados incorporados durante a configuração de campanhas. A equipa de marketing tinha adicionado as tags de afiliados de boa fé como parte de negócios legítimos. Ninguém tinha auditado o que mais os scripts de afiliados continham.

Os pixels estavam a disparar em cada sessão, sem porta de consentimento, enviando endereços IP dos jogadores e sinais comportamentais para contas publicitárias externas. A equipa de conformidade não tinha visibilidade prévia sobre isto porque os domínios de pixel (facebook.com, analytics.tiktok.com) apareciam nos seus logs de rede como destinos de rotina e esperados. Não havia nenhum alerta e nenhum mecanismo para cruzar os IDs de pixel com uma lista aprovada. Em 24 horas após o início da monitorização, a plataforma tinha um inventário completo de cada ID de pixel a disparar no domínio de teste, incluindo quais os scripts que os entregavam, em que páginas estavam activos e há quanto tempo pareciam estar a correr. O DPO iniciou uma avaliação ao abrigo do Artigo 33 no mesmo dia.

Fluxo de Trabalho de Remediação: Da Detecção à Resolução

Resposta Rápida: Quando o cside apresenta um pixel não autorizado, o fluxo de trabalho de remediação tem quatro etapas: contenção imediata (bloquear o script ou container que entrega o pixel), avaliação de impacto (determinar quais os domínios, intervalos de datas e segmentos de utilizadores que foram expostos), avaliação de notificação regulatória (avaliar se é necessário um relatório de violação ao abrigo do Artigo 33 do GDPR) e melhoria de processo (actualizar o processo de governação de scripts para evitar recorrências).

A remediação não é apenas um exercício técnico. Como os shadow pixels podem constituir uma violação de dados pessoais ao abrigo do GDPR, a resposta de conformidade precisa de correr em paralelo com a correcção técnica.

  1. Contenção: Identificar o script ou GTM container que entrega o pixel não autorizado e removê-lo dos domínios afectados. A atribuição de execução do cside diz-lhe exactamente qual o activo a visar, eliminando as suposições de uma auditoria manual.

  2. Delimitação de impacto: Determinar o intervalo de datas durante o qual o pixel estava a disparar, quais os domínios afectados e aproximadamente quantas sessões foram expostas. Estes dados são necessários para qualquer notificação regulatória e para o registo interno do incidente.

  3. Avaliação regulatória: Ao abrigo do Artigo 33 do GDPR, uma violação de dados pessoais deve ser comunicada à autoridade supervisora relevante no prazo de 72 horas se for provável que resulte num risco para os direitos e liberdades dos indivíduos. A transferência de dados comportamentais de jogadores para uma plataforma de publicidade social sem consentimento pode atingir este limiar. O seu DPO precisa de fazer esta avaliação prontamente, com os dados de delimitação de impacto da etapa dois.

  4. Actualização de processo: O shadow pixel chegou ao seu site porque um script foi adicionado sem revisão de segurança. Implementar um processo de controlo de alterações que exija que todos os novos scripts, GTM containers e integrações JavaScript de terceiros sejam revistos e aprovados antes de entrarem em produção em qualquer domínio do seu portfólio. O sistema de alertas em tempo real do cside funciona como o mecanismo de aplicação contínua dessa política uma vez em vigor.

Resumo

Os shadow pixels criam uma exposição de conformidade que é invisível por design. Os domínios de pixel parecem legítimos nos logs de rede. O fluxo de consentimento no seu site não tem conhecimento de um pixel que não configurou. O seu CMP não consegue portear o que não consegue ver. A única camada que consegue atribuir uma chamada de pixel ao seu script de origem, cruzar o ID de pixel com um inventário aprovado e sinalizá-lo em tempo real é aquela que corre dentro do browser. Para operadores de jogo licenciados com obrigações ao abrigo do GDPR e restrições de plataformas de publicidade, a monitorização contínua na camada de browser não é um melhoramento opcional. É o mecanismo que torna a responsabilidade ao abrigo do Artigo 5(2) do GDPR operacionalmente possível. O Privacy Watch do cside fornece um inventário completo de pixels a partir de sessões reais de jogadores, cruzado com a sua configuração de consentimento, com alertas para cada destino não declarado. Para contexto sobre como scripts não autorizados chegam aos seus domínios através de tag managers, consulte o nosso guia sobre shadow GTM containers em plataformas de jogo multi-marca.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Um shadow pixel é um pixel de rastreamento de uma plataforma de publicidade social (tipicamente Facebook, TikTok ou LinkedIn) que está a disparar no seu site de jogo sem a sua autorização. É colocado aí através de um script de terceiros, snippet de afiliado ou GTM container não autorizado. O pixel envia dados comportamentais dos jogadores para uma conta publicitária externa que não é sua, sem que o consentimento do jogador tenha sido recolhido para esse fim.

Ao abrigo do GDPR, os operadores são responsáveis por todo o tratamento de dados pessoais que ocorre nos seus domínios, incluindo dados transferidos para terceiros por scripts que não autorizaram conscientemente. O princípio de responsabilidade do Artigo 5(2) significa que deve ser capaz de demonstrar que todo o tratamento é lícito. Não pode usar a falta de consciência como defesa se um pixel estava a disparar no seu site e não tinha nenhuma monitorização implementada para o detectar.

Um CMP bloqueia scripts listados na sua configuração de consentimento de cookies de disparar antes de ser obtido consentimento. Um shadow pixel que não está na sua configuração de CMP não está coberto por ele. O CMP não tem conhecimento dele e não consegue bloqueá-lo ou pôr-lhe porta. É por isso que a monitorização de scripts na camada de browser que opera independentemente da sua configuração de CMP é necessária para detectar e apresentar pixels não autorizados.

Se uma plataforma de publicidade social detectar que um pixel ligado a uma das suas contas publicitárias está a disparar num domínio de jogo num mercado onde a publicidade de jogo não está aprovada, pode suspender a conta publicitária associada. Isto pode afectar campanhas publicitárias legítimas a correr a partir dessa conta, incluindo quaisquer campanhas em mercados aprovados ou para produtos não relacionados com jogo. O risco de suspensão aplica-se independentemente de o operador ter conscientemente colocado o pixel.

Uma auditoria pontual é insuficiente porque o seu ambiente de scripts de terceiros muda sempre que um negócio de afiliado é assinado, uma nova marca é lançada ou um GTM container é republicado. A monitorização contínua na camada de browser que alerta em tempo real quando um novo ID de pixel é detectado é a única abordagem operacionalmente viável à escala de uma plataforma de jogo multi-marca. As auditorias manuais são um complemento útil mas não podem substituir a cobertura contínua.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Agende uma demonstração
Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração