- Nghiên cứu phân tích 4.700 trang web hàng đầu cho thấy 64% ứng dụng bên thứ ba hiện truy cập dữ liệu nhạy cảm mà không có lý do kinh doanh chính đáng, tăng từ 51% vào năm 2024.
- Hoạt động độc hại trong khu vực chính phủ tăng vọt từ 2% lên 12,9%, trong khi 1/7 trang web giáo dục cho thấy sự xâm nhập đang diễn ra.
- Các tác nhân cụ thể: Google Tag Manager (8% vi phạm), Shopify (5%), Facebook Pixel (4%).
Tải về bản phân tích đầy đủ 43 trang →
Tóm tắt chính
Một sự mất kết nối nghiêm trọng xuất hiện trong nghiên cứu năm 2026: Trong khi 81% các nhà lãnh đạo bảo mật coi các cuộc tấn công web là ưu tiên hàng đầu, chỉ có 39% đã triển khai các giải pháp để ngăn chặn thiệt hại.
Nghiên cứu năm ngoái cho thấy 51% truy cập không chính đáng. Năm nay con số này là 64% – và đang tăng tốc vào cơ sở hạ tầng công cộng.
Web Exposure là gì?
Gartner đã đặt ra thuật ngữ 'Web Exposure Management' để mô tả các rủi ro bảo mật từ các ứng dụng bên thứ ba: analytics, marketing pixels, CDNs và các công cụ thanh toán. Mỗi kết nối mở rộng bề mặt tấn công của bạn; một sự thỏa hiệp của nhà cung cấp duy nhất có thể gây ra một cuộc tấn công dữ liệu lớn bằng cách inject code để thu thập credentials hoặc skim payments.
Rủi ro này được thúc đẩy bởi khoảng cách quản trị, nơi các đội ngũ marketing hoặc kỹ thuật số triển khai ứng dụng mà không có sự giám sát của IT. Kết quả là sự cấu hình sai mạn tính, nơi các ứng dụng được cấp quyền quá mức được phép truy cập vào các trường dữ liệu nhạy cảm mà chúng không thực sự cần cho chức năng.
Nghiên cứu này phân tích chính xác những dữ liệu mà các ứng dụng bên thứ ba này chạm vào và liệu chúng có lý do kinh doanh chính đáng hay không.
Phương pháp nghiên cứu
Trong hơn 12 tháng (kết thúc tháng 11 năm 2025), Reflectiz đã phân tích 4.700 trang web hàng đầu bằng cách sử dụng hệ thống Exposure Rating độc quyền của mình. Hệ thống này phân tích số lượng lớn các điểm dữ liệu thu thập được từ việc quét hàng triệu trang web bằng cách xem xét từng yếu tố rủi ro trong ngữ cảnh, cộng chúng lại để tạo ra một mức độ rủi ro tổng thể và thể hiện điều này dưới dạng một điểm đơn giản, từ A đến F. Các phát hiện được bổ sung bằng một cuộc khảo sát hơn 120 nhà lãnh đạo bảo mật trong các lĩnh vực chăm sóc sức khỏe, tài chính và bán lẻ.
Khủng hoảng truy cập không chính đáng
Báo cáo nhấn mạnh một khoảng cách quản trị ngày càng tăng được gọi là "unjustified access": các trường hợp công cụ bên thứ ba được cấp quyền truy cập vào dữ liệu nhạy cảm mà không có nhu cầu kinh doanh rõ ràng.
Truy cập bị gắn cờ khi một script bên thứ ba đáp ứng bất kỳ tiêu chí nào sau đây:
- Chức năng không liên quan: Đọc dữ liệu không cần thiết cho nhiệm vụ của nó (ví dụ: một chatbot truy cập các trường thanh toán).
- Hiện diện không ROI: Vẫn hoạt động trên các trang có rủi ro cao mặc dù đã hơn 90 ngày không truyền dữ liệu.
- Triển khai Shadow: Injection qua Tag Managers mà không có sự giám sát bảo mật hoặc phạm vi "least privilege".
- Cấp quyền quá mức: Sử dụng "Full DOM Access" để scrape toàn bộ trang thay vì các phần tử bị hạn chế.
"Các tổ chức đang cấp quyền truy cập dữ liệu nhạy cảm theo mặc định thay vì theo ngoại lệ." Xu hướng này rõ rệt nhất trong lĩnh vực Giải trí và Bán lẻ trực tuyến, nơi áp lực marketing thường lấn át các đánh giá bảo mật.
Nghiên cứu xác định các công cụ cụ thể đang thúc đẩy rủi ro này:
- Google Tag Manager: Chiếm 8% tổng số truy cập dữ liệu nhạy cảm không chính đáng.
- Shopify: 5% truy cập không chính đáng.
- Facebook Pixel: Trong 4% triển khai được phân tích, pixel được phát hiện là đã được cấp quyền quá mức, thu thập các trường nhập liệu nhạy cảm mà nó không cần cho việc theo dõi chức năng.
Khoảng cách quản trị này không chỉ là lý thuyết. Một cuộc khảo sát gần đây với hơn 120 nhà ra quyết định bảo mật từ các lĩnh vực chăm sóc sức khỏe, tài chính và bán lẻ cho thấy 24% tổ chức chỉ dựa vào các công cụ bảo mật chung như WAF, khiến họ dễ bị tổn thương trước các rủi ro bên thứ ba cụ thể mà nghiên cứu này đã xác định. 34% khác vẫn đang đánh giá các giải pháp chuyên dụng, có nghĩa là 58% tổ chức thiếu các biện pháp phòng thủ thích hợp mặc dù nhận thức được mối đe dọa.
Hạ tầng trọng yếu bị tấn công
Mặc dù các số liệu thống kê cho thấy sự gia tăng lớn trong các vụ vi phạm của Chính phủ và Giáo dục, nguyên nhân là do tài chính chứ không phải kỹ thuật.
- Khu vực Chính phủ: Hoạt động độc hại tăng vọt từ 2% lên 12,9%.
- Khu vực Giáo dục: Dấu hiệu của các trang web bị xâm nhập tăng gấp 4 lần lên 14,3% (1 trên 7 trang web)
- Khu vực Bảo hiểm: Ngược lại, lĩnh vực này đã giảm hoạt động độc hại 60%, xuống chỉ còn 1,3%.
Các tổ chức bị hạn chế ngân sách đang thua trong cuộc chiến chuỗi cung ứng. Các khu vực tư nhân có ngân sách quản trị tốt hơn đang ổn định môi trường của họ.
Những người trả lời khảo sát đã xác nhận điều này: 34% nêu hạn chế về ngân sách là trở ngại chính, trong khi 31% chỉ ra thiếu nhân lực – một sự kết hợp gây ảnh hưởng nặng nề đến các tổ chức công.
Khoảng cách giữa nhận thức và hành động
Các phát hiện từ khảo sát lãnh đạo bảo mật cho thấy sự rối loạn chức năng của tổ chức:
- 81% coi các cuộc tấn công web là ưu tiên hàng đầu → Chỉ 39% đã triển khai giải pháp
- 61% vẫn đang đánh giá hoặc sử dụng các công cụ không đầy đủ → Mặc dù có sự gia tăng truy cập không chính đáng từ 51% lên 64%
- Các trở ngại hàng đầu: Ngân sách (34%), quy định (32%), nhân sự (31%)
Kết quả: Nhận thức mà không hành động tạo ra lỗ hổng trên quy mô lớn. Khoảng cách 42 điểm giải thích tại sao unjustified access tăng 25% hàng năm.
Yếu tố từ phòng Marketing
Một yếu tố then chốt thúc đẩy rủi ro này là "Marketing Footprint". Nghiên cứu cho thấy các phòng ban Marketing và Digital hiện đang tạo ra 43% tổng số rủi ro phơi nhiễm bên thứ ba, so với chỉ 19% do IT tạo ra.
Báo cáo cho thấy 47% ứng dụng chạy trong các payment frames thiếu lý do kinh doanh chính đáng. Các đội marketing thường xuyên triển khai các công cụ chuyển đổi vào các môi trường nhạy cảm này mà không nhận ra các tác động.
Các đội bảo mật nhận ra mối đe dọa này: trong khảo sát chuyên gia, 20% số người được hỏi xếp supply chain attacks và lỗ hổng script bên thứ ba vào ba mối quan tâm hàng đầu của họ. Tuy nhiên, cấu trúc tổ chức có thể ngăn chặn những rủi ro này – sự giám sát thống nhất các triển khai bên thứ ba – vẫn vắng mặt ở hầu hết các tổ chức.
Một cuộc tấn công Pixel có thể vượt qua Polyfill.io như thế nào
Với tỷ lệ phổ biến 53,2%, Facebook Pixel là một điểm lỗi đơn lẻ có tính hệ thống. Rủi ro không nằm ở công cụ, mà ở các quyền không được quản lý: "Full DOM Access" và "Automatic Advanced Matching" biến các marketing pixels thành các công cụ scrape dữ liệu không chủ ý.
Tiền lệ: Một sự xâm nhập sẽ lớn gấp 5 lần so với cuộc tấn công Polyfill.io năm 2024, làm lộ dữ liệu trên một nửa các trang web lớn cùng lúc. Polyfill đã ảnh hưởng đến 100K trang web trong vài tuần; tỷ lệ phổ biến 53,2% của Facebook Pixel có nghĩa là hơn 2,5 triệu trang web sẽ bị xâm nhập ngay lập tức.
Giải pháp: Triển khai theo ngữ cảnh (Context-Aware Deployment). Hạn chế pixels ở các landing page để đạt ROI, nhưng nghiêm cấm chúng khỏi các payment và credential frames nơi chúng thiếu lý do kinh doanh chính đáng.
Còn về TikTok pixel và các trackers khác? Tải báo cáo đầy đủ để biết thêm chi tiết >>
Các dấu hiệu kỹ thuật của sự xâm nhập
Lần đầu tiên, nghiên cứu này chỉ ra các tín hiệu kỹ thuật dự đoán các trang web bị xâm nhập.
Các trang web bị xâm nhập không phải lúc nào cũng sử dụng các ứng dụng độc hại – chúng được đặc trưng bởi các cấu hình "ồn ào" hơn.
Tiêu chí phát hiện tự động:
- Các Domain mới đăng ký: Các Domain được đăng ký trong vòng 6 tháng gần đây xuất hiện nhiều hơn 3,8 lần trên các trang web bị xâm nhập.
- Kết nối bên ngoài: Các trang web bị xâm nhập kết nối tới số lượng external domains nhiều hơn 2,7 lần (100 so với 36).
- Mixed Content: 63% các trang web bị xâm nhập trộn lẫn các giao thức HTTPS/HTTP.
Các tiêu chuẩn cho lãnh đạo bảo mật
Trong số 4.700 trang web được phân tích, 429 trang đã chứng minh kết quả bảo mật mạnh mẽ. Các tổ chức này chứng tỏ rằng chức năng và bảo mật có thể cùng tồn tại:
- ticketweb.uk: Trang web duy nhất đáp ứng tất cả 8 tiêu chuẩn (Hạng A+)
- GitHub, PayPal, Yale University: Đáp ứng 7 tiêu chuẩn (Hạng A)
8 Tiêu chuẩn bảo mật: Doanh nghiệp hàng đầu so với trung bình
Các tiêu chuẩn dưới đây đại diện cho các mục tiêu có thể đạt được dựa trên hiệu suất thực tế, không phải lý tưởng lý thuyết. Các doanh nghiệp hàng đầu duy trì ≤8 ứng dụng bên thứ ba, trong khi các tổ chức trung bình phải vật lộn với 15-25. Sự khác biệt không phải ở tài nguyên – mà là quản trị. Dưới đây là cách họ so sánh trên tất cả tám số liệu:
Ba hành động nhanh cần ưu tiên
1. Kiểm tra Trackers
Kiểm kê mọi pixel/tracker:
- Xác định chủ sở hữu và lý do kinh doanh chính đáng
- Xóa các công cụ không thể chứng minh quyền truy cập dữ liệu
Các sửa chữa ưu tiên:
- Facebook Pixel: Tắt 'Automatic Advanced Matching' trên các trang PII
- Google Tag Manager: Xác minh không có quyền truy cập trang thanh toán
- Shopify: Xem xét quyền ứng dụng
2. Triển khai giám sát tự động
Triển khai giám sát runtime cho:
- Phát hiện truy cập trường nhạy cảm (thẻ, SSNs, credentials)
- Cảnh báo real-time cho việc thu thập trái phép
- Theo dõi vi phạm CSP
3. Giải quyết sự phân chia giữa Marketing và IT
Đánh giá chung giữa CISO + CMO:
- Công cụ marketing trong payment frames
- Phạm vi của Facebook Pixel (sử dụng Allow/Exclusion Lists)
- ROI của tracker so với rủi ro bảo mật
Tải báo cáo đầy đủ
Tải về bản phân tích đầy đủ 43 trang, bao gồm:
- ✅ Phân tích rủi ro theo từng ngành
- ✅ Danh sách đầy đủ các ứng dụng bên thứ ba có rủi ro cao
- ✅ Phân tích xu hướng theo từng năm
- ✅ Các thực tiễn tốt nhất của lãnh đạo bảo mật
TẢI BÁO CÁO ĐẦY ĐỦ TẠI ĐÂY
