Khoảng cách phê duyệt (Approval Gap): Rủi ro bảo mật tiềm ẩn trong các công nghệ quảng cáo thời đại AI
Các thẻ marketing được phê duyệt có thể âm thầm tải về mã nguồn bên thứ tư mà đội ngũ bảo mật chưa từng kiểm duyệt. Tìm hiểu về 'Approval Gap' và cách bảo vệ website trước các rủi ro từ chuỗi cung...
Trong môi trường kỹ thuật số hiện nay, một thẻ marketing (marketing tag) tưởng chừng vô hại được phê duyệt có thể âm thầm tải về các đoạn mã từ bên thứ tư (fourth-party code). Điều này vô tình cấp quyền truy cập vào các biểu mẫu, dữ liệu khách hàng và trang thanh toán mà đội ngũ bảo mật hoàn toàn không hay biết.
Approval Gap là gì?
Đây là khoảng cách giữa những gì bộ phận bảo mật đã phê duyệt và những gì thực tế đang chạy trên trình duyệt của người dùng. Thông thường, một nhà cung cấp (vendor) được phê duyệt có thể tải thêm các tập lệnh (script) khác, tạo thành một chuỗi cung ứng kỹ thuật số phức tạp. Vì các đoạn mã này chạy ở phía client-side, chúng có quyền truy cập tương đương với mã nguồn chính thống của doanh nghiệp.
Thách thức từ AI và chuỗi cung ứng
Sự bùng nổ của AI đã đẩy nhanh tốc độ tích hợp các công nghệ quảng cáo mới, khiến các quy trình kiểm duyệt truyền thống trở nên lỗi thời. Theo báo cáo State of Web Exposure 2026, khoảng 53% rủi ro bảo mật trong lĩnh vực bán lẻ xuất phát từ việc lạm dụng các công cụ theo dõi (tracking tools).
Các chuyên gia nhấn mạnh rằng việc phê duyệt một lần là không đủ. Doanh nghiệp cần thiết lập cơ chế giám sát liên tục, sandboxing và đảm bảo các nhà cung cấp tuân thủ tiêu chuẩn bảo mật khắt khe. Một số câu hỏi then chốt mà đội ngũ bảo mật cần đặt ra cho các vendor bao gồm: Những đoạn mã nào khác được tải kèm theo thẻ của bạn? Ai là người đã kiểm duyệt các đoạn mã đó?
Giải pháp cho doanh nghiệp
Để thu hẹp khoảng cách này, các tổ chức cần thực hiện lộ trình 3 bước:
- Kiểm kê (Inventory): Nắm rõ mọi script đang chạy trên website.
- Giám sát (Monitor): Theo dõi hành vi của các bên thứ ba trong thời gian thực.
- Quản trị (Govern): Thiết lập chính sách bảo mật chặt chẽ mà không làm ảnh hưởng đến hiệu suất của bộ phận marketing.
Việc hiểu rõ các quy định như GDPR, CCPA hay PCI DSS 4.0.1 (yêu cầu 6.4.3 và 11.6.1) là yếu tố sống còn để đảm bảo các tập lệnh của nhà cung cấp không trở thành lỗ hổng bảo mật nghiêm trọng.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.