في حادثة أثارت جدلاً واسعاً حول خصوصية البيانات والامتثال التنظيمي، كشفت تقارير أمنية أن أحد البنوك الأوروبية وافق على دمج بيكسل Taboola ضمن بنيته الرقمية، لكن هذا البيكسل قام بشكل غير معلن بإعادة توجيه جلسات المستخدمين المسجلين الدخول إلى نقطة تتبع تابعة لموقع Temu، دون علم البنك أو موافقة المستخدمين، ودون أن ترصد أنظمة الأمان أي خرق.
ثغرة “التحيز في القفزة الأولى”
تعتمد معظم أنظمة الأمان مثل WAFs وCSPs على تقييم المصدر المعلن للسكربت، لكنها لا تتحقق من الوجهة النهائية لسلسلة الطلبات. فإذا كان نطاق sync.taboola.com مدرجاً في قائمة السماح، يعتبر المتصفح الطلب مشروعاً، لكنه يتابع تلقائياً إعادة التوجيه إلى نطاق آخر مثل temu.com، مانحاً إياه الثقة الموروثة من Taboola.
سلسلة إعادة التوجيه التي كشفتها التحقيقات
خلال تدقيق أمني في فبراير 2026، رصدت شركة Reflectiz سلسلة إعادة توجيه على صفحات الحسابات المصرفية:
- الطلب الأول: GET إلى https://sync.taboola.com/…
إعادة التوجيه: استجابة 302 إلى https://www.temu.com/api/adx/cm/pixel-taboola?… - الحمولة: تضمنت رأساً أساسياً Access-Control-Allow-Credentials: true، الذي يجبر المتصفح على تضمين الكوكيز في الطلب عبر النطاقات، مما يسمح لـ Temu بقراءة أو كتابة معرفات تتبع مرتبطة بجلسة مصرفية موثوقة.
لماذا فشلت الأدوات التقليدية؟
- WAF: يراقب حركة المرور الواردة فقط، ويتجاهل إعادة التوجيه الصادرة من المتصفح.
- التحليل الساكن: يرى كود Taboola في المصدر، لكنه لا يتنبأ بوجهات إعادة التوجيه.
- قوائم السماح في CSP: تمنح الثقة للنطاق الأول، وتسمح للمتصفح بمتابعة السلسلة تلقائياً.
التداعيات التنظيمية والقانونية
رغم عدم وجود سرقة مباشرة لبيانات الاعتماد، إلا أن الحادثة تمثل فشلاً في الشفافية وفق المادة 13 من اللائحة الأوروبية لحماية البيانات (GDPR)، حيث لم يُبلغ المستخدمون بأن سلوكهم المصرفي سيرتبط بملف تتبع تديره PDD Holdings. كما أن إعادة التوجيه تضمنت بنية تحتية في دولة غير معترف بها كـ”آمنة”، ما يجعل النقل غير مدعوم وفق الفصل الخامس من اللائحة. إضافة إلى ذلك، فإن معايير PCI DSS تنص على أن أي إعادة توجيه إلى طرف رابع غير متوقع تُعتبر خارج نطاق المراجعة الأمنية، وهو ما يغطيه البند 6.4.3 تحديداً.
الدروس المستفادة: فحص السلوك أثناء التشغيل
القضية تكشف أن آلاف المواقع تستخدم نفس إعدادات بيكسل Taboola، وأن إعادة التوجيهات المشابهة تحدث بالفعل. التحدي الحقيقي أمام فرق الأمن هو القدرة على رؤية ما وراء “القفزة الأولى”، أي فحص السلوك أثناء التشغيل وليس الاكتفاء بالقوائم المعلنة. أما فرق الامتثال والخصوصية، فعليها التعامل مع سلاسل التتبع على صفحات تسجيل الدخول بنفس الجدية التي تُمنح للتكاملات الخلفية.
