Os especialistas encontram falhas de segurança no Google Tag Manager (GTM) que resultam em vazamentos de dados, bem como a possibilidade de injeção de scripts arbitrários e a ativação automática de consentimento para coleta de dados. Uma análise legal identifica potenciais violações das regulamentações de proteção de dados da União Europeia.
Existem várias informações alarmantes, como por exemplo, que a tecnologia de gerenciamento de tags do lado do servidor dificulta os esforços de auditoria de conformidade por parte de reguladores, agentes de proteção de dados e pesquisadores.
No que diz respeito à fragilidade, os estudiosos mencionaram:
Esse descobrimento demonstra que o sistema de autorização GTM utilizado na área de teste do Web Container possibilita que tags incluam scripts arbitrários e sem restrições, o que pode resultar em potenciais riscos de segurança e privacidade para o site.
Informamos ao Google sobre esta descoberta por meio do seu programa online Bug Bounty.
A pesquisa avalia as duas versões do GTM (Gerenciador de Tags do Google), que foram criadas para auxiliar os editores na inserção de scripts JavaScript de terceiros. Atualmente, o GTM é utilizado em até 28 milhões de sites. A análise também aborda o lançamento do novo GTM do lado do servidor, que ocorreu em 2020.
A investigação conduzida por pesquisadores e especialistas em direito identificou uma variedade de problemas associados à estrutura GTM.
Uma análise de 78 tags no lado do cliente, 8 tags no lado do servidor e duas plataformas de gerenciamento de consentimento (CMPs) revelou a ocorrência de vazamentos de dados não detectados, casos de tags que ignoram os sistemas de permissão GTM para inserir scripts e consentimento definido como ativado por padrão sem qualquer interação do usuário.
No entanto, foi revelado pelo estudo que essa estrutura possibilita que as tags em funcionamento no servidor compartilhem secretamente informações dos usuários com terceiros, burlando as restrições do navegador e as medidas de segurança, tais como o Content-Security-Policy (CSP).
A metodologia empregada na investigação dos vazamentos de dados no GTM.
Os pesquisadores pertencem a várias instituições, como o Centre Inria de l’Université, Centre Inria d’Université Côte d’Azur, Centre Inria de l’Université e Utrecht University.
Os pesquisadores optaram por adotar uma metodologia na qual eles adquiriram um domínio e instalaram o GTM em um site em funcionamento.
O artigo de pesquisa fornece uma explicação detalhada sobre:
Para conduzir experimentos e configurar a infraestrutura GTM, adquirimos um domínio – que chamaremos de example.com aqui – e desenvolvemos um site público com uma página web simples contendo um parágrafo de texto e um formulário de login em HTML. Adicionamos o formulário de login, pois Senol et al. descobriram recentemente que as informações fornecidas pelos usuários frequentemente vazam por meio desses formulários. Portanto, decidimos testar se as Tags podem ser responsáveis por esse vazamento.
Hospedamos o site e a infraestrutura GTM do lado do servidor em uma máquina virtual alugada na plataforma de computação em nuvem do Microsoft Azure, situada em um data center da União Europeia.
… Optamos por utilizar os “perfis” do navegador como uma forma de iniciar cada experiência em um ambiente novo, sem cookies, armazenamento local ou outras tecnologias, para garantir uma situação inicial limpa.
O usuário, ao acessar o site, usou um computador conectado à internet por meio de uma rede institucional na União Europeia.
Para criar instalações do GTM tanto no lado do cliente quanto no lado do servidor, é necessário criar uma conta nova no Google. Em seguida, faça login nessa conta e siga as instruções fornecidas na documentação oficial do GTM.
Os resultados da análise revelam várias descobertas importantes, como a facilidade com que o “Google Tag” coleta dados dos usuários sem consentimento e a presença de uma vulnerabilidade de segurança no momento da análise.
Os editores não têm acesso à coleção de dados.
Uma outra descoberta foi a ampliação da coleta de informações pelo “Pinterest Tag”, que conseguiu obter uma quantidade considerável de dados do usuário sem informar ao editor.
O que pode ser preocupante é que os editores que utilizam essas tags podem não estar conscientes dos vazamentos de informações, além disso, as ferramentas que eles usam para monitorar a coleta de dados não os alertam sobre esses problemas.
Os pesquisadores registraram as suas descobertas.
Percebemos que o Publisher não consegue ver os dados enviados pelo Pinterest Tag no site do Pinterest, onde verificamos a forma como o Pinterest divulga as informações coletadas.
Além disso, constatamos que as informações obtidas pelo Google Tag referentes à interação com formulários não são exibidas no painel do Google Analytics.
Essa descoberta revela que os editores não têm conhecimento dos dados coletados pelos tags que eles escolhem.
Utilização de códigos externos para inserção de scripts.
O Google Tag Manager possui uma funcionalidade chamada Web Containers que permite controlar tags, incluindo tags de terceiros. Essas tags podem operar dentro de uma sandbox que restringe suas funcionalidades. A sandbox também utiliza um sistema de permissões, como a permissão “inject_script”, que possibilita o download e execução de qualquer script fora do Web Container.
A permissão inject_script permite que a tag ignore o sistema de permissão GTM para conseguir acesso a todas as APIs do navegador e DOM.
Captura de tela demonstrando a aplicação de um script injetado
A equipe de pesquisa examinou 78 tags compatíveis oficialmente pelo lado do cliente e identificou 11 tags que não têm a permissão “inject_script”, mas ainda assim têm a capacidade de injetar scripts arbitrários. O Google disponibilizou sete dessas onze tags.
Eles estão realizando a atividade de escrita.
Onze das 78 tags oficiais do lado do cliente inserem um script de terceiros no DOM, desconsiderando as permissões do GTM. Além disso, o GTM “Modo de consentimento” ativa algumas finalidades de consentimento por padrão, antes mesmo do usuário interagir com o banner de consentimento.
A situação é ainda mais grave, pois não se trata apenas de uma fragilidade na privacidade, mas também de uma fragilidade na segurança.
O artigo de pesquisa descreve a interpretação dos resultados obtidos.
Essa descoberta revela que o sistema de permissão GTM usado na caixa de areia do Web Container possibilita que tags insiram scripts descontrolados e arbitrários, o que pode resultar em vulnerabilidades de segurança e privacidade para o site. Informamos o Google sobre essa descoberta por meio de seu sistema de recompensa por bugs online, conhecido como Bug Bounty.
Veja também: 4 Outras opções ao invés do Google Tag Manager
CMPs são plataformas utilizadas para gerenciar o consentimento de usuários em relação à coleta e uso de seus dados pessoais.
As Plataformas de Gerenciamento de Consentimento (CMP) são uma tecnologia utilizada para controlar quais consentimentos os usuários deram em relação à privacidade. Essas plataformas são utilizadas para gerenciar a personalização de anúncios, o armazenamento de dados do usuário, o armazenamento de dados analíticos e outras funcionalidades relacionadas.
A responsabilidade de definir o modo de consentimento padrão é atribuída aos profissionais de marketing e editores que utilizam o GTM, como afirma a documentação do Google para o uso de CMP.
Podemos estabelecer padrões para negar a personalização por padrão, como exemplo.
De acordo com a documentação, é afirmado:
“Sugerimos estabelecer um valor predefinido para cada tipo de consentimento que você está empregando.”
Os exemplos de valores de consentimento mencionados neste artigo são apenas ilustrativos. É de sua responsabilidade garantir que cada um dos seus produtos de medição tenha o modo de consentimento padrão definido de acordo com a política da sua organização.
A descoberta feita pelos pesquisadores é que as CMPs para GTMs do lado do cliente são carregadas em um estado incerto na página web, o que causa problemas quando uma CMP não carrega variáveis padrão (também chamadas de variáveis incertas).
O dilema reside no fato de que o GTM interpreta as variáveis indefinidas como um sinal de que os usuários consentiram com todas as variáveis indefinidas, mesmo que eles não tenham dado consentimento de forma alguma.
Os especialistas deram uma explicação sobre o que está ocorrendo.
De forma surpreendente, nessa situação, o GTM considera todas essas variáveis como aceitáveis pelo usuário final, mesmo que ele ainda não tenha interagido com o banner de consentimento do CMP.
Identificamos esse comportamento no Consentmanager CMP, dentre os dois CMPs testados (consulte §3.1.1).
Este CMP estabelece um valor padrão para apenas duas variáveis de consentimento, que são analytics_storage e ad_storage. No entanto, existem ainda três variáveis de consentimento GTM – security_storage, personalization_storage e functions_storage – e também variáveis de consentimento específicas para este CMP, como por exemplo, cmp_purpose_c56 que se refere à finalidade “Social Media”, que permanecem em um estado indefinido.
Portanto, o GTM considera essas variáveis extras como concedidas, o que significa que todas as tags que dependem delas são executadas independentemente do consentimento do usuário.
Consequências jurídicas.
O artigo de pesquisa analisa como as leis de privacidade nos Estados Unidos, como o GDPR da União Europeia e a diretiva de privacidade, regulamentam o processamento de dados do usuário e o uso de tecnologias de rastreamento. Essas leis estabelecem multas importantes para violações, como a exigência de consentimento para armazenamento de cookies e outras tecnologias de rastreamento.
Foram encontradas sete possíveis violações legais na análise do Client-Side GTM.
Sete possíveis infrações das leis que protegem os dados.
- Os scanners CMP frequentemente não cumprem seus objetivos de forma adequada.
- Potencial violação 2: A compatibilidade entre as finalidades do Consent Management Platform (CMP) e as variáveis de consentimento do Google Tag Manager (GTM) não é mapeada adequadamente.
- Possível violação 3: As metas do GTM são restritas à guarda do cliente.
- Violation 4 potential: The purposes of GTM are not specific or explicit.
- Potencial violação 5: As tags são executadas sem consentimento devido às variáveis de consentimento padrão para “aceito”.
- Violação possível 6: A Tag do Google envia informações sem levar em consideração as escolhas de consentimento do usuário.
- Potencial violação 7: A ferramenta GTM possibilita que os provedores de tags insiram scripts que colocam os usuários finais em risco de segurança.
Análise jurídica do GTM do lado do servidor.
De acordo com os pesquisadores, há preocupações legais levantadas pelos resultados encontrados sobre GTM na sua forma atual. Eles argumentam que o sistema apresenta mais obstáculos legais do que soluções, dificultando os esforços de conformidade e representando um desafio para os reguladores em sua efetiva monitorização.
Essas são algumas das razões que geraram preocupação em relação à habilidade de seguir as regulamentações:
- Não existem métodos simples para que um editor atenda a uma solicitação de acesso aos dados coletados de acordo com o artigo 15 do GDPR, seja para o GTM do lado do cliente ou do servidor. O editor teria que acompanhar manualmente cada coletor de dados para cumprir essa solicitação legal.
- Ao utilizar tags com consentimento incorporado, os editores precisam confiar na implementação do consentimento pelos provedores de tags. Não existe uma forma simples de revisar o código para verificar se o provedor de tags está ignorando o consentimento e coletando informações do usuário. A revisão do código é impossível para tags oficiais que estão isoladas dentro do script gtm.js. Pesquisadores afirmam que a revisão do código de conformidade requer um processo complexo de engenharia reversa.
- Segundo os pesquisadores, os blocos GTM no servidor dificultam a verificação de conformidade, pois a coleta de dados é feita de forma remota em um servidor.
- As funcionalidades de controle de consentimento estão ausentes nos GTM Server Containers, o que impede a exibição dos propósitos e dos Coletores de Dados pelos CMPs, conforme exigido pelas regulamentações.
A dificuldade de audição é descrita como sendo muito grande.
Além disso, somente o Publisher tem o poder de dar acesso à configuração do GTM Server Container, tornando a auditoria e o monitoramento restritos somente a ele.
Além disso, o Publisher tem a capacidade de modificar as configurações do GTM Server Container a qualquer momento (como antes de qualquer análise regulatória), ocultando assim qualquer verificação de conformidade.
Conclusão: Existem desafios e imperfeições no GTM.
Os pesquisadores criticaram a segurança e os padrões não conformes da GTM, destacando que ela possui mais questões legais do que resoluções. Além disso, afirmaram que a empresa dificulta a conformidade com os regulamentos e torna o monitoramento dos órgãos reguladores mais desafiador.
Acesse o artigo de pesquisa e faça a leitura.
Reformulação: Google Tag Manager: Exposição e possíveis violações de dados ocultos sob a Lei de Proteção de Dados da UE.
Faça o download do arquivo PDF do artigo de pesquisa nesta página.
A imagem principal é fornecida pela Shutterstock, especificamente pelo contribuinte Praneat.