Dua risiko sisi klien mendominasi masalah dengan kehilangan data dan eksfiltrasi data: pelacak yang ditempatkan secara tidak benar di situs web dan aplikasi web dan kode sisi klien berbahaya yang diambil dari repositori pihak ketiga seperti NPM.
Peneliti keamanan sisi klien menemukan bahwa pelacak yang ditempatkan secara tidak tepat, meskipun tidak sengaja berbahaya, adalah masalah yang berkembang dan memiliki implikasi privasi yang jelas dan signifikan ketika menyangkut masalah kepatuhan/peraturan, seperti HIPAA atau PCI DSS 4.0. Untuk menyoroti risiko dengan pelacak yang salah tempat, sebuah studi baru-baru ini oleh The Markup (organisasi berita nirlaba) memeriksa 100 rumah sakit teratas Newsweek di Amerika. Mereka menemukan pelacak Facebook di sepertiga situs web rumah sakit yang mengirim data perawatan kesehatan yang sangat pribadi ke Facebook setiap kali pengguna mengklik tombol “jadwalkan janji”. Data tidak harus dianonimkan, karena data terhubung ke alamat IP, dan alamat IP serta informasi janji temu dikirim ke Facebook.
Jurnalis dan peneliti keamanan sisi klien bukan satu-satunya yang melihat masalah privasi data. Pekan lalu, FTC mengumumkan rencananya untuk menindak penggunaan yang tidak benar atau ilegal oleh perusahaan teknologi dan berbagi data yang sangat sensitif. FTC mengindikasikan bahwa mereka juga berencana untuk menargetkan klaim palsu tentang anonimisasi data. Instansi pemerintah menunjukkan bahwa informasi kesehatan sensitif yang dikombinasikan dengan praktik keamanan data bayangan yang digunakan oleh perusahaan teknologi sangat bermasalah, dengan sebagian besar pelanggan memiliki sedikit atau tanpa pengetahuan tentang bagaimana data mereka dikumpulkan, data apa yang dikumpulkan, bagaimana digunakan, atau bagaimana itu dilindungi.
Industri keamanan telah berulang kali membuktikan betapa mudahnya mengidentifikasi ulang data yang dianonimkan dengan menggabungkan beberapa kumpulan data untuk membuat gambaran yang jelas tentang identitas pengguna akhir.
Selain pelacak web yang ditempatkan secara tidak benar, peneliti keamanan sisi klien memperingatkan tentang risiko yang terkait dengan kode JavaScript yang ditarik dari repositori pihak ketiga, seperti NPM. Penelitian terbaru menemukan bahwa manajer paket yang berisi JavaScript yang dikaburkan dan berbahaya digunakan untuk mengumpulkan informasi sensitif dari situs web dan aplikasi web. Menggunakan sumber seperti NPM, pelaku ancaman jahat menargetkan organisasi melalui serangan rantai pasokan perangkat lunak JavaScript menggunakan komponen jahat untuk mengekstrak data yang dimasukkan ke dalam formulir oleh pengguna di situs web yang menyertakan kode berbahaya ini.
Peneliti keamanan sisi klien menyarankan beberapa pendekatan untuk mengidentifikasi dan mengurangi dua risiko utama ini. Pemantauan permukaan serangan sisi klien adalah yang paling komprehensif dan sepenuhnya melindungi pengguna akhir dan bisnis dari risiko pencurian data karena Magecart, e-skimming, skrip lintas situs, dan serangan injeksi JavaScript. Alat lain, seperti firewall aplikasi web (WAF), melindungi beberapa aspek permukaan serangan sisi klien tetapi gagal melindungi aktivitas yang terjadi di halaman web dinamis. Kebijakan keamanan konten (CSP) adalah alat keamanan sisi klien yang baik lainnya, tetapi CSP tidak praktis. Tinjauan kode manual untuk mengidentifikasi masalah dengan CSP dapat berarti berjam-jam (atau berhari-hari) menjelajahi ribuan baris skrip aplikasi web.
Profesional keamanan juga dapat menjelajahi solusi pemetaan permukaan serangan sisi klien yang menggabungkan intelijen ancaman, wawasan akses (aset mana yang mengakses data apa), dan privasi (adalah salah satu data yang dibagikan ke sumber eksternal secara tidak tepat).
Solusi pemantauan permukaan serangan sisi klien adalah teknologi keamanan siber yang relatif baru yang secara otomatis menemukan semua aset web perusahaan dan melaporkan akses data mereka. Solusi ini menggunakan browser tanpa kepala untuk menavigasi semua JavaScript yang terdapat di situs web dan halaman aplikasi web. Mereka mengumpulkan informasi waktu nyata tentang cara kerja situs web yang dipindai dari sudut pandang pengguna akhir.
Komponen teknologi utama dalam solusi pemantauan permukaan serangan sisi klien adalah pengguna sintetis, yang digunakan selama perayapan deteksi ancaman untuk berinteraksi seperti yang dilakukan manusia nyata di halaman web dinamis. Pengguna sintetis ini dapat menyelesaikan berbagai aktivitas, termasuk mengklik tautan aktif, mengirimkan formulir, memecahkan Captcha, dan memasukkan informasi keuangan. Interaksi pengguna sintetis dicatat dan dipantau, diikuti oleh analisis perilaku dan injeksi logika ke setiap halaman untuk mengumpulkan informasi yang sulit dikumpulkan secara manual, termasuk data formulir, data yang dapat diakses oleh skrip pihak ketiga, pelacak yang digunakan, dan aktivitasnya , dan segala bentuk atau skrip pihak ketiga yang mentransfer data melintasi batas negara.
Solusi juga harus dapat mengoperasionalkan masalah apa pun yang ditemukan dalam proses identifikasi atau pemetaan sisi klien melalui penggunaan daftar yang diizinkan dan yang tidak diizinkan dan melalui analisis informasi pasca-pemindaian untuk mendapatkan kecerdasan yang disintesis untuk mengamankan aplikasi web dari bahaya.
Profesional keamanan dengan keahlian di sisi klien sangat menyarankan organisasi di industri seperti layanan keuangan, media/hiburan, e-commerce, perawatan kesehatan, dan teknologi/SaaS yang memiliki beberapa aplikasi web front-end untuk memahami keamanan sisi klien dan bagaimana klien -risiko sampingan dapat berdampak pada bisnis mereka.