Disney Worldwide Services, Inc. y Disney Entertainment Operations LLC acordaron pagar $ 10 millones en un acuerdo histórico para resolver las acusaciones de que recopilaron sistemáticamente datos personales de niños menores de 13 años en violación de la regla de la Ley de Protección de Privacidad en línea de los niños (COPPA).
El Departamento de Justicia de los Estados Unidos, actuando a instancias de la Comisión Federal de Comercio, presentó una demanda en el Tribunal de Distrito de los Estados Unidos para el Distrito Central de California, División Occidental, acusando a Disney de no etiquetar adecuadamente el contenido dirigido por el niño en sus canales de YouTube.
Por defecto, muchos videos “no están hechos para los niños”, Disney permitió que los identificadores persistentes se asignaran a los espectadores jóvenes, lo que permite la publicidad específica y otras características basadas en datos que deberían haber sido discapacitadas para los niños.
La queja sostiene que Disney subió a decenas de miles de videos en más de 1,250 canales, muchos de los cuales presentaban personajes animados, cantos y lecturas de tiempo de cuento claramente dirigidas a los niños.
A pesar del requisito de 2019 de YouTube de que los creadores identifiquen el contenido de “Hecho para los niños” para cumplir con COPPA, la política corporativa de Disney designó los canales como una configuración de video individual totalmente dirigida por los niños, y rara vez ajustados.
Como resultado, las características como la autoplaz en el hogar, los comentarios y las indicaciones interactivas permanecieron activas en los videos de los niños, lo que llevó a la recopilación de datos no autorizados y los anuncios dirigidos.
Distrito Centerado de Distrito de los Estados Unidos de la División del Mandeo de California anotado Patrones en el tablero de configuraciones de Disney donde la alternancia “audiencia” estaba mal configurada.
Esta configuración errónea se parecía a una carga útil sigilosa que, como una pieza de malware, explotó la configuración predeterminada para exfiltrar los datos del usuario.
Aunque no es un código malicioso tradicional, la bandera de audiencia de YouTube sirvió como vector de ataque, lo que permite que los rastreadores de terceros cosechen identificadores persistentes de menores sin el consentimiento de los padres verificables.
El acuerdo exige que Disney implementa un programa integral de cumplimiento, que incluye controles automatizados de designaciones de audiencia y auditorías regulares de terceros. El incumplimiento puede desencadenar sanciones adicionales.
Este acuerdo subraya el creciente escrutinio de los ecosistemas en línea donde la configuración de la plataforma predeterminada puede armarse contra las regulaciones de privacidad diseñadas para proteger a los usuarios vulnerables.
Mecanismo de infección: la explotación de la bandera de la audiencia
El mecanismo involuntario de “infección” de Disney dependía de la API de designación de audiencia de YouTube, que funciona de manera similar a un archivo de configuración vulnerable a la clasificación errónea. Al cargar contenido, los creadores invocan un fragmento como:
{“canalID”: “ucxxxxxx”, “audiencia”: {“makeforkids”: falso}, “videoid”: “ABCD1234”}
Al establecer consistentemente “MadeForkids”: falso a nivel de canal, Disney aseguró que las cargas individuales heredaron una designación que no es de niños.
Esta etiqueta incorrecta permitió a la plataforma de YouTube activar los módulos de AD específicos y el seguimiento de comentarios, análogos a cargar una biblioteca de seguimiento en una aplicación.
Las tácticas de persistencia reflejaban el uso de entradas de registro por parte de Malware: YouTube almacenó la bandera de audiencia en los perfiles de los usuarios, asegurando que los espectadores repetidos recibieran un seguimiento constante en todas las sesiones.
La evasión de detección ocurrió porque los equipos de Disney se basaron en los valores predeterminados a nivel de canal en lugar de la auditoría por video, enmascarando los efectos del exploit hasta que YouTube intervino y reclasificó más de 300 videos a mediados de 2020.
Este caso ilustra cómo la configuración de la plataforma mal configurada puede funcionar como un mecanismo de recolección de datos sigiloso, reforzando la necesidad de controles de cumplimiento automatizados y robustos en las operaciones de medios digitales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
