Pixel Taboola Mengarahkan Sesi Login Bank ke Temu, Risiko GDPR dan PCI DSS Mengintai
Pixel Taboola yang disetujui oleh sebuah bank secara diam-diam mengarahkan pengguna yang sudah login ke endpoint pelacakan Temu. Kejadian ini berlangsung tanpa sepengetahuan bank, tanpa persetujuan pengguna, dan tidak terdeteksi oleh kontrol keamanan manapun.
Blind Spot "First-Hop Bias" dalam Keamanan Web
Banyak sistem keamanan, termasuk Web Application Firewalls (WAF), alat analisis statis, dan kebijakan Content Security Policy (CSP) standar, memiliki kelemahan umum: mereka hanya mengevaluasi asal skrip yang dideklarasikan, bukan tujuan akhir dari rantai permintaan saat runtime.
Misalnya, jika sync.taboola.com sudah tercantum dalam daftar izin CSP, browser akan menganggap permintaan tersebut sah. Namun, browser tidak melakukan validasi ulang terhadap tujuan akhir dari pengalihan 302. Saat browser sampai di temu.com, ia telah mewarisi kepercayaan yang diberikan pada Taboola.
Rantai Pengalihan yang Terungkap dalam Audit Februari 2026
Dalam audit platform finansial Eropa pada Februari 2026, Reflectiz menemukan rantai pengalihan yang terjadi pada halaman akun yang sudah login:
- Permintaan Awal: Permintaan GET ke https://sync.taboola.com/sg/temurtbnative-network/1/rtb/.
- Pengalihan: Server membalas dengan status 302 Found, mengarahkan browser ke https://www.temu.com/api/adx/cm/pixel-taboola?....
- Payload: Pengalihan menyertakan header penting
Access-Control-Allow-Credentials: true, yang menginstruksikan browser untuk menyertakan cookie dalam permintaan lintas asal ke domain Temu.
Header ini memungkinkan Temu membaca atau menulis pengenal pelacakan pada browser yang diketahui mengunjungi sesi bank yang sudah diautentikasi.
Mengapa Alat Konvensional Gagal Mendeteksi
| Alat | Alasan Kegagalan |
|---|---|
| WAF | Memeriksa lalu lintas masuk saja; tidak mendeteksi pengalihan sisi browser. |
| Analisis Statis | Melihat kode Taboola di sumber, tapi tidak dapat memprediksi tujuan pengalihan 302 saat runtime. |
| Daftar Izin CSP | Kepercayaan bersifat transitif; browser mengikuti rantai pengalihan otomatis setelah langkah pertama disetujui. |
Risiko Kepatuhan Regulasi
Bagi entitas yang diatur, tidak adanya pencurian kredensial langsung tidak mengurangi risiko kepatuhan. Pengguna tidak pernah diberi tahu bahwa perilaku sesi bank mereka akan dikaitkan dengan profil pelacakan yang dimiliki oleh PDD Holdings — sebuah kegagalan transparansi menurut Pasal 13 GDPR. Selain itu, routing tersebut menggunakan infrastruktur di negara yang tidak memiliki perlindungan data memadai, dan tanpa klausul kontrak standar yang mengatur hubungan pihak keempat ini, transfer data tersebut tidak sesuai dengan Bab V GDPR. Penyangkalan seperti "kami tidak tahu pixel melakukan itu" tidak dapat diterima di bawah Pasal 24 GDPR.
Risiko PCI DSS juga meningkat. Rantai pengalihan yang berakhir di domain pihak keempat yang tidak terduga berada di luar cakupan tinjauan yang hanya memeriksa vendor utama — inilah yang coba diatasi oleh Persyaratan 6.4.3 PCI DSS.
Inspeksi Runtime, Bukan Sekadar Deklarasi
Saat ini, konfigurasi pixel Taboola yang sama dijalankan di ribuan situs web. Pertanyaannya bukan apakah rantai pengalihan seperti ini terjadi — karena memang terjadi. Pertanyaan sebenarnya adalah, apakah tumpukan keamanan Anda dapat melihat melewati langkah pertama — atau berhenti hanya pada domain yang Anda setujui dan menganggapnya selesai.
Untuk tim keamanan: periksa perilaku runtime, bukan hanya daftar vendor yang dideklarasikan.
Untuk tim hukum dan privasi: rantai pelacakan di tingkat browser pada halaman yang sudah terautentikasi harus mendapat perhatian yang sama ketatnya seperti integrasi backend.
Ancaman ini masuk melalui pintu depan. CSP Anda yang membukakannya.
Analisis Redaksi
Menurut pandangan redaksi, temuan ini mengungkap celah besar dalam pengelolaan keamanan dan privasi data oleh institusi keuangan modern, terutama terkait penggunaan pihak ketiga seperti Taboola yang dapat menimbulkan risiko tersembunyi. Ketergantungan pada mekanisme keamanan yang hanya memvalidasi asal skrip tanpa memeriksa tujuan akhir pengalihan dapat membuka jalan bagi pelanggaran data dan pelacakan tanpa izin.
Lebih jauh, kasus ini menyoroti kebutuhan mendesak bagi lembaga keuangan dan penyedia layanan untuk mengadopsi pendekatan keamanan yang lebih dinamis dan menyeluruh, termasuk inspeksi runtime dan transparansi penuh dalam penggunaan vendor pihak ketiga. Jika tidak, potensi pelanggaran GDPR dan PCI DSS bisa berakibat pada sanksi hukum yang berat dan rusaknya kepercayaan nasabah.
Ke depan, para pengambil kebijakan dan praktisi keamanan harus memperhatikan bahwa kontrol tradisional seperti CSP dan WAF tidak lagi cukup. Mereka harus mengintegrasikan solusi pemantauan yang mampu melacak rantai pengalihan secara penuh dan melakukan audit menyeluruh terhadap semua pihak yang terlibat dalam pemrosesan data pengguna. Ini adalah momentum penting untuk membangun ekosistem digital yang lebih aman dan transparan.
Untuk informasi teknis lebih lengkap, kunjungi laporan asli di The Hacker News.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
