全球数十亿用户记录被泄露,所有姓名和地址都被曝光。甲骨文可能引发了今年最大的数据安全事件。数十亿人的记录遭到泄露。Oracle于2014年以超过4亿美元的价格收购了初创公司BlueKai,并将其产品添加到Oracle的数据云(ODC)和营销云(OMC)中。BlueKai通过cookies和其他跟踪技术在网络上监控用户,为第三方提供数据收集服务,并维护着一个庞大的数据库。因为背后有Oracle的支持,BlueKai发展得相当迅速。Whotracks网站估计BlueKai跟踪了超过1%的网络流量。然而,在很长一段时间内,保存这些数据的服务器根本没有密码,导致网络跟踪数据在公共互联网上全面泄露。数十亿条记录可供任何人随时浏览和查看。暴露的记录显示高度透明,包括姓名、家庭住址、电子邮箱和支付交易等个人信息,因此通过用户的“数字画像”可以长期追踪其在线活动。例如,其中一条记录可以具体为一名德国男子(此处隐去真名),他于4月19日在电竞博彩网站上投注了10欧元,还包括该男子的住址、电话号码和电子邮箱地址。另一条记录显示,一位居住在伊斯坦布尔的用户在一家家装店在线购买了价值899美元的家具,其中包括买家的详细信息,包括真实姓名、电子邮件地址和买家订单的网络链接。.安全研究员AnuragSen发现了该数据库并向Oracle报告了他的发现。Oracle然后使数据库脱机。无论哪种方式,暴露的数据库的庞大规模使其成为今年最大的安全漏洞之一。1.事件回顾科技巨头甲骨文是硅谷为数不多的在互联网跟踪技术领域拥有强大影响力的公司之一。该公司斥资数十亿美元收购初创公司,以构建用户网络浏览数据的综合视图。StartupBlueKai于2014年被甲骨文以超过4亿美元的价格收购。BlueKai使用网站cookies等跟踪技术监测用户的网络动向,依靠不断收集各种来源的数据了解市场动态,并根据人们的兴趣发布最准确的广告内容。营销人员可以利用Oracle庞大的征信机构、分析公司和其他消费者数据源数据库(包括每天数十亿个数据点位置)来确定适合其受众的最佳广告信息。此外,营销人员还可以上传经过整理的消费者个人数据,例如在注册网站或订阅商业通讯时提交的个人信息。这部分数据看似不敏感,但相互融合后,可以为个人用户及其设备创建独一无二的“指纹”,从而追踪彼此在互联网上的浏览趋势。BlueKai还能够将用户的移动网络浏览习惯与桌面行为联系起来,确保无论用户使用何种设备,他们的活动都可以通过互联网进行跟踪。BlueKai收集的内容越多,就越能准确推断用户偏好,进而帮助广告商更有针对性地向不同人群发送不同的促销内容。但在很长一段时间内,存储此类数据的服务器根本没有密码,导致公共互联网上的网络跟踪数据全面泄露。数十亿条记录可供任何人随时浏览和查看。安全研究员AnuragSen发现了该数据库,并通过网络安全公司HudsonRock首席执行官RoiCarthy的中介向Oracle报告了他的发现。从Sen提供的数据中,可以找到用户名、家庭住址、电子邮件地址和其他与身份相关的数据。该数据还包括用户的各种敏感网页浏览活动,例如在线购物和新闻退订等操作。甲骨文发言人DeborahHellinger指出,“甲骨文发现HudsonRock公司RoiCarthy报告的部分BlueKai记录属于互联网公开信息,虽然研究人员提供的初步信息不足以确定哪些系统受到影响,甲骨文跟进。在调查过程中,发现两个客户没有正确配置相关服务。甲骨文已采取措施防止此类问题再次发生。2.泄露的信息极其透明在幕后,BlueKai不断提取和匹配尽可能多的Raw个人数据,并将其与个人资料进行匹配,以不断丰富对个人的了解和跟踪。但最终,大量原始数据从暴露的数据库中泄露。根据此次曝光的一份记录,我们发现一名德国男子(此处隐去真名)于4月19日在某电竞博彩网站购买了一笔10欧元的赌注,该记录还包括该男子的住址、电话号码和电子邮件地址。考虑另一项记录,该记录显示该国最大的投资控股公司之一使用BlueKai服务来跟踪其网站的用户。记录显示,居住在伊斯坦布尔的一位用户在家装店在线购买了价值899美元的家具。此类记录包含买家的详细信息,包括真实姓名、电子邮件地址和买家订单的网络链接等。另一条记录详细说明了用户如何取消订阅时事通讯服务。记录表明此人可能对特定型号的行车记录仪感兴趣。根据用户代理信息,我们甚至可以发现他的iPhone系统版本已经过时,需要进行软件更新。BlueKai收集的数据越多,对个人用户的推断就越准确,自然也就更有能力发布符合个人口味的广告来赚取利润。根据数据库发现者Sen的说法,泄露的数据库包含了几个月的信息,一些记录可以追溯到2019年8月。EFF的Cyphers指出,“对人们的网页浏览习惯进行详细分析可以揭示相应用户的个人爱好、政治倾向、收入“水平、健康状况、性取向和赌博习惯。随着我们的网络生活逐渐丰富,这类数据在日常生活中的比例也在增加。”3.监控无处不在BlueKai无处不在,真正无处不在。据估计,BlueKai跟踪了超过1%的全球网络流量——每天收集的数据量惊人,Amazon、ESPN、Forbes、Glassdoor、Healthline、Levi's、MSN.com、烂番茄、纽约时报等世界顶级网站都成为了它的监控对象。但我们需要关注的不仅仅是BlueKai,2000年后,大数据营销公司如雨后春笋般涌现。DMP数据管理平台在数字化转型过程中具有战略意义,因此相关数据业务不断扩大。网页浏览数据汇集到云端一个庞大的数据库,而正是这些数据背后的经济价值,让整个互联网得以长期免费运行。虽然大多数互联网用户已经意识到这种无处不在的跟踪,但营销行业以外的人可能仍然难以想象其中涉及多少数据以及机构正在使用这些数据做什么。以2017年引起轩然大波的Equifax数据泄露事件为例。Equifax未经许可收集了数百万消费者的数据,遭到立法者的严厉批评。和BlueKai一样,Equifax把这些追踪行为都写在了枯燥冗长的隐私政策中,但普通消费者又会去仔细阅读谁呢?而且就算仔细看了,消费者也只能被动接受。要么被跟踪,要么放弃使用。如果你想免费上网,你就得付钱。只要存在这样的数据库,数据总有一天会落入坏人之手,造成灾难性的后果。每个人都应该有自己的秘密,每个人都有不被某些群体窥探的权利。当公司收集原始的网络浏览或购买数据时,无论多么脱敏,它都必须包含无穷无尽的现实生活细节。正是这些小细节,可能会让大家陷入潜在的风险之中。
