|
Oracle 的广告技术部门,因服务器处于不安全且未设置密码的状态,导致数据库中全球数十亿人的记录被泄露。
Oracle 于 2014 年以超过 4 亿美元的价格收购了初创企业 BlueKai ,并将其产品添加到 Oracle 的数据云(ODC)和营销云(OMC)中。BlueKai 通过 cookie 和其他跟踪技术监视网络上的用户,并为第三方提供数据收集服务,同时维护着一个大型数据库。因为背后有 Oracle 的支撑,BlueKai 的发展相当迅速。据 Whotracks 网站估计,BlueKai 跟踪了所有 Web 流量的 1%以上。
但在相当长的一段时期内,保存这些数据的服务器压根没有设置密码,导致网络跟踪数据被全面泄露在公开互联网上。
其中的数十亿条记录,随时可供任何人翻阅查看。
曝光出来的这些记录,显示出极高的透明度,包含姓名、家庭住址、电子邮件和其他比如付款交易等个人信息,因此通过用户的“数字画像”可以长期追踪他的在线活动。
例如其中一条记录,可以具体到某德国男子(这里隐去真实姓名)曾在 4 月 19 号在电子竞技博彩网站上购买了 10 欧元的注码,还包含该男子的居住地址、电话号码与电子邮件地址。另一条记录显示,一位住在伊斯坦布尔的用户曾在一家家居用品商店在线购买了价值 899 美元的家具,内含买家的详细信息,包括真实姓名、电子邮件地址以及买家订单的网络链接等。
安全研究员 Anurag Sen 发现了该数据库,并向 Oracle 方面报告了自己的发现。随后 Oracle 将数据库进行了脱机处理。但不管怎么样,此次曝光数据库的庞大规模都使其成为今年发生的最大安全违规事件之一。
1. 事件回顾
科技巨头 Oracle 是少数几家在互联网跟踪技术领域拥有强劲实力的硅谷企业之一。该公司斥资数十亿美元收购众多初创企业,并借此构建起全面的用户网络浏览数据视图。初创公司 BlueKai 于 2014 年以超过 4 亿美元的价码被 Oracle 收入囊中。
BlueKai 使用网站 cookies 及其他跟踪技术监视用户的网络动向,依靠从各种来源不停地收集数据以了解市场动态,并结合人们的利益诉求发布最精准的广告内容。
营销人员可以利用 Oracle 庞大的数据库,通过信用机构、分析企业以及其他消费者数据源(包括日均数十亿个数据点位置)获取信息,最终确定最符合受众口味的广告内容。此外,营销人员也可以上传经过整理的消费者个人数据,例如注册网站或订阅商业新闻时需要提交的个人信息。
这部分数据看似并不敏感,但在彼此融合之后,却能够为个人用户及其设备创建出唯一“指纹”,借此跟踪对方在互联网上的浏览动向。
BlueKai 还能够将用户的移动网络浏览习惯与桌面行为联系起来,保证无论用户使用哪种设备,都可以通过互联网跟踪他们的活动。
BlueKai 收集到的内容越多,对用户喜好的推理就越准确,进而帮助广告商们更加有的放矢地向不同群体发送不同宣传内容。
但在相当长的一段时期内,保存这类数据的服务器压根没有设置密码,导致网络跟踪数据被全面泄露在公开互联网上。其中的数十亿条记录,随时可供任何人翻阅查看。
安全研究员 Anurag Sen 发现了该数据库,并以网络安全公司 Hudson Rock 首席执行官 Roi Carthy 为中间人向 Oracle 方面报告了自己的发现。
根据 Sen 提供的数据,可以从中找到用户姓名、家庭住址、电子邮件地址以及其他身份相关数据。数据中还包含用户的各类敏感网络浏览活动,例如网上购物及新闻退订等各类操作。
Oracle 公司发言人 Deborah Hellinger 指出,“甲骨文公司发现,Hudson Rock 公司 Roi Carthy 上报的部分 BlueKai 记录属于网络公开信息。虽然研究人员提供的初始信息不足以判断到底是哪些系统受到影响,但甲骨文在随后的调查中,发现确实有两家客户未能正确配置相关服务。甲骨文已经采取措施以避免此类问题再次发生。”
2. 泄露的信息透明度极高
在幕后,BlueKai 在不断提取并匹配尽可能多的个人原始数据,并将其与个人资料加以匹配,据此持续丰富对个体的了解并跟踪其最新动态。
但最终,大量原始数据从暴露在外的数据库中泄露出来。
根据此次曝光的一条记录,我们发现某德国男子(这里隐去真实姓名)曾在 4 月 19 号在电子竞技博彩网站上购买了 10 欧元的注码。记录中还包含该男子的居住地址、电话号码与电子邮件地址。
再来看另一条记录,其中显示土耳其国内最大的投资控股公司之一使用 BlueKai 服务对其网站用户进行跟踪。记录显示,一位住在伊斯坦布尔的用户曾在一家家居用品商店中在线购买了价值 899 美元的家具。这类记录中包含了买家的详细信息,包括真实姓名、电子邮件地址以及买家订单的网络链接等等。
在另一条记录中,详细记录了某位用户如何取消新闻邮件订阅服务。记录显示,此人可能对特定型号的行车记录仪很感兴趣。根据用户代理信息,我们甚至可以发现他的 iPhone 系统版本已经陈旧,需要进行软件更新。
(编辑:新余站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
