Oracle的廣告技術部門,因服務器處於不安全且未設置密碼的狀態,導致數據庫中全球數十億人的記錄被泄露。
Oracle於2014年以超過4 億美元的價格收購了初創企業BlueKai ,並將其產品添加到Oracle的數據雲(ODC)和營銷雲(OMC)中。BlueKai通過cookie和其他跟蹤技術監視網絡上的用戶,併爲第三方提供數據收集服務,同時維護着一個大型數據庫。因爲背後有Oracle的支撐,BlueKai的發展相當迅速。據Whotracks網站估計,BlueKai跟蹤了所有Web流量的1%以上。
但在相當長的一段時期內,保存這些數據的服務器壓根沒有設置密碼,導致網絡跟蹤數據被全面泄露在公開互聯網上。
其中的數十億條記錄,隨時可供任何人翻閱查看。
曝光出來的這些記錄,顯示出極高的透明度,包含姓名、家庭住址、電子郵件和其他比如付款交易等個人信息,因此通過用戶的“數字畫像”可以長期追蹤他的在線活動。
例如其中一條記錄,可以具體到某德國男子(這裏隱去真實姓名)曾在4月19號在電子競技博彩網站上購買了10歐元的注碼,還包含該男子的居住地址、電話號碼與電子郵件地址。另一條記錄顯示,一位住在伊斯坦布爾的用戶曾在一家家居用品商店在線購買了價值899美元的傢俱,內含買家的詳細信息,包括真實姓名、電子郵件地址以及買家訂單的網絡鏈接等。
安全研究員Anurag Sen發現了該數據庫,並向Oracle方面報告了自己的發現。隨後Oracle將數據庫進行了脫機處理。但不管怎麼樣,此次曝光數據庫的龐大規模都使其成爲今年發生的最大安全違規事件之一。
事件回顧
科技巨頭Oracle是少數幾家在互聯網跟蹤技術領域擁有強勁實力的硅谷企業之一。該公司斥資數十億美元收購衆多初創企業,並藉此構建起全面的用戶網絡瀏覽數據視圖。初創公司BlueKai於2014年以超過4億美元的價碼被Oracle收入囊中。
BlueKai使用網站cookies及其他跟蹤技術監視用戶的網絡動向,依靠從各種來源不停地收集數據以瞭解市場動態,並結合人們的利益訴求發佈最精準的廣告內容。
營銷人員可以利用Oracle龐大的數據庫,通過信用機構、分析企業以及其他消費者數據源(包括日均數十億個數據點位置)獲取信息,最終確定最符合受衆口味的廣告內容。此外,營銷人員也可以上傳經過整理的消費者個人數據,例如註冊網站或訂閱商業新聞時需要提交的個人信息。
這部分數據看似並不敏感,但在彼此融合之後,卻能夠爲個人用戶及其設備創建出唯一“指紋”,藉此跟蹤對方在互聯網上的瀏覽動向。
BlueKai還能夠將用戶的移動網絡瀏覽習慣與桌面行爲聯繫起來,保證無論用戶使用哪種設備,都可以通過互聯網跟蹤他們的活動。
BlueKai收集到的內容越多,對用戶喜好的推理就越準確,進而幫助廣告商們更加有的放矢地向不同羣體發送不同宣傳內容。
但在相當長的一段時期內,保存這類數據的服務器壓根沒有設置密碼,導致網絡跟蹤數據被全面泄露在公開互聯網上。其中的數十億條記錄,隨時可供任何人翻閱查看。
安全研究員Anurag Sen發現了該數據庫,並以網絡安全公司Hudson Rock首席執行官Roi Carthy爲中間人向Oracle方面報告了自己的發現。
根據Sen提供的數據,可以從中找到用戶姓名、家庭住址、電子郵件地址以及其他身份相關數據。數據中還包含用戶的各類敏感網絡瀏覽活動,例如網上購物及新聞退訂等各類操作。
Oracle公司發言人Deborah Hellinger指出,“甲骨文公司發現,Hudson Rock公司Roi Carthy上報的部分BlueKai記錄屬於網絡公開信息。雖然研究人員提供的初始信息不足以判斷到底是哪些系統受到影響,但甲骨文在隨後的調查中,發現確實有兩家客戶未能正確配置相關服務。甲骨文已經採取措施以避免此類問題再次發生。”
泄露的信息透明度極高
在幕後,BlueKai在不斷提取並匹配儘可能多的個人原始數據,並將其與個人資料加以匹配,據此持續豐富對個體的瞭解並跟蹤其最新動態。
但最終,大量原始數據從暴露在外的數據庫中泄露出來。
根據此次曝光的一條記錄,我們發現某德國男子(這裏隱去真實姓名)曾在4月19號在電子競技博彩網站上購買了10歐元的注碼。記錄中還包含該男子的居住地址、電話號碼與電子郵件地址。
再來看另一條記錄,其中顯示土耳其國內最大的投資控股公司之一使用BlueKai服務對其網站用戶進行跟蹤。記錄顯示,一位住在伊斯坦布爾的用戶曾在一家家居用品商店中在線購買了價值899美元的傢俱。這類記錄中包含了買家的詳細信息,包括真實姓名、電子郵件地址以及買家訂單的網絡鏈接等等。
在另一條記錄中,詳細記錄了某位用戶如何取消新聞郵件訂閱服務。記錄顯示,此人可能對特定型號的行車記錄儀很感興趣。根據用戶代理信息,我們甚至可以發現他的iPhone系統版本已經陳舊,需要進行軟件更新。
BlueKai收集的數據越多,對個人用戶的推斷結論也就越準確,自然更有能力發佈符合個人口味的廣告來賺取利潤。
據數據庫發現者Sen介紹,泄露的數據庫中包含爲期數個月的信息,部分記錄甚至可以追溯到2019年8月。
EFF的Cyphers指出,“對人們網絡瀏覽習慣的細化分析,可以揭示出對應用戶的個人愛好、政治傾向、收入水平、健康狀況、性取向以及賭博習慣等。隨着我們網絡生活的逐漸豐富,這類數據在日常生活中所佔的比重也越來越大。”
監控無所不在
BlueKai無處不在,真正意義上的無處不在。一項估算表明,BlueKai跟蹤的網絡流量佔全球總體流量中的1%以上——其日均數據收集量極爲驚人,而且亞馬遜、ESPN、福布斯、Glassdoor、Healthline、Levi’s、MSN.com、Rotten Tomatoes以及紐約時報等全球頂尖網站都成爲其監控對象。
但我們要關注的絕不只是BlueKai。
2000年後大數據營銷企業蜂擁而起,類似的DMP數據管理平臺在數字化轉型過程中具有戰略意義,因此相關的數據業務不斷在擴大。
我們訪問的幾乎每一個網站,都或多或少包含有某種形式的隱性跟蹤代碼,用於在訪客遍歷互聯網時實施監視。這些隱性跟蹤器會將網絡瀏覽數據發送至雲端一套巨大的數據庫內,也正是這些數據背後帶來的經濟價值讓整個互聯網得以長期免費運行。儘管大多數網絡用戶早已意識到這種無處不在的跟蹤,但營銷行業之外的人們恐怕仍難以想象這其中到底涉及多少數據、相關機構又在怎樣處理數據。
以2017年引起軒然大波的Equifax數據泄露案爲例,Equifax在未經許可的情況下從數百萬消費者處收集數據,受到立法者們的嚴厲抨擊。與BlueKai一樣,Equifax公司把這些跟蹤行爲都寫在了枯燥冗長的隱私政策裏頭,但普通消費者誰又會去認真閱讀呢?而且就算認真看過,消費者除了被動接受之外也別無選擇。要麼被跟蹤,要麼放棄使用。想要免費上網,就必須付出點代價。
只要這樣的數據庫仍然存在,數據就終有一天會落入錯誤的人手中,並引發災難性後果。每個人都應該擁有自己的祕密,也都擁有不被某些人羣窺探的權利。當企業收集原始網頁瀏覽或購買數據時,無論如何脫敏,其中都必然包含無窮無盡的真實生活細節。
正是這些小小細節,或許會讓每一個人身陷潛在的風險當中。
延伸閱讀:
https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/
https://blogs.gartner.com/martin-kihn/from-bluekai-to-ai-the-adventures-of-omar-tawakol/