Den Kern des Problems beschreibt Reflectiz als blinden Fleck der üblichen Sicherheitswerkzeuge: Sie prüfen, woher ein Skript stammt, nicht aber, wo seine Anfragekette tatsächlich endet. Ist die Domain sync.taboola.com in der Content Security Policy hinterlegt, behandelt der Browser die Anfrage als zulässig. Eine erneute Prüfung gegen das endgültige Ziel einer 302-Umleitung findet jedoch nicht statt. Erreicht der Browser schließlich temu.com, hat er das Vertrauen, das ursprünglich nur Taboola galt, bereits geerbt.
Entscheidend ist dabei ein Header, der den Browser anweist, Cookies in die Cross-Origin-Anfrage an die Temu-Domain einzubeziehen. Über diesen Mechanismus kann Temu Tracking-Kennungen gegen einen Browser lesen oder schreiben, von dem nun bekannt ist, dass er eine authentifizierte Banking-Sitzung aufgerufen hat.
Reflectiz betont, dass das Fehlen eines direkten Diebstahls von Zugangsdaten die rechtliche Tragweite nicht begrenzt. Nutzer wurden nie darüber informiert, dass ihr Verhalten in der Banking-Sitzung mit einem Tracking-Profil bei PDD Holdings verknüpft wird — laut Reflectiz ein Transparenzverstoß gegen Art. 13 DSGVO. Die Weiterleitung selbst nutze Infrastruktur in einem Land ohne anerkanntes Datenschutzniveau; ohne Standardvertragsklauseln für diese konkrete Viertpartei-Beziehung sei die Übermittlung nach Kapitel V der DSGVO nicht gedeckt. Der Einwand „Wir wussten nicht, dass das Pixel das tut" stehe einem Verantwortlichen unter Art. 24 nicht als Rechtfertigung offen.
Hinzu kommt nach Darstellung von Reflectiz die Tragweite für PCI DSS. Eine Weiterleitungskette, die bei einer unerwarteten Viertpartei-Domain endet, liege außerhalb jeder Prüfung, die nur den primären Dienstleister betrachtet habe — genau diese Lücke solle Anforderung 6.4.3 schließen.
Die Konsequenz, die Reflectiz zieht: Sicherheitsteams sollten das Laufzeitverhalten untersuchen, nicht nur die deklarierten Anbieterlisten. Rechts- und Datenschutzteams sollten Tracking-Ketten auf Browser-Ebene auf authentifizierten Seiten mit derselben Sorgfalt behandeln wie Backend-Integrationen. Da dieselbe Taboola-Pixel-Konfiguration auf Tausenden Websites laufe, sei nicht die Frage, ob solche Weiterleitungsketten vorkommen, sondern ob der eigene Sicherheits-Stack über den ersten Hop hinaussehen kann — oder bei der einmal freigegebenen Domain stehenbleibt.