数十亿条用户记录被暴露,甲骨文或已引发今年最大的数据安全漏洞

时间:2020/6/22 10:32:40浏览次数:1213

当你在使用浏览器、电商购物软件或者刷着短视频的时候,是否思考过这样一个问题:为什么刚刚想到一件事,在线广告很快就有针对性地把相关产品推送给你了?

这已经不是什么高深的技术能力,现在的 AI技术 + 广告推送可以非常精准地实现这个目标,而精准的背后,则是对用户更详细和重要的个人信息进行记录搜集。

科技巨头甲骨文(Oracle)是硅谷少数几家在互联网跟踪技术方面能力出众的公司之一。近年来,它花费了数十亿美元投资并购初创公司,以建立自己的用户网络浏览数据全景图,其中一家公司叫 BlueKai,甲骨文在 2014 年用 4 亿多美元将其收购,鲜为人知的一面是,它已经成了美国最大的网络跟踪数据公司之一

BlueKai 使用网站 Cookie 和其他跟踪技术来捕获你的网络信息,通过了解你访问了哪些网站以及打开过哪些电子邮件,营销人员可以使用大量的跟踪数据来推断出尽可能多的关于你的信息,例如你的收入水平、受教育程度、政治观点和兴趣爱好等,从而根据你的数据画像投放符合你口味的广告,如果你点击了,那么广告商就会有一小笔收入,通过聚沙成塔实现巨额收入。

据外媒 TechCrunch 披露,有一段时间,由于 BlueKai 服务器处于不安全状态且没有密码,BlueKai 的网络跟踪数据不慎泄漏到了开放的互联网上,从而使数十亿条记录可供任何人查找,在这些泄露的数据库中可找到用户的姓名、家庭住址、电子邮件地址和其它可识别的数据,数据还显示了敏感用户的 Web 浏览活动,从购买商品到新闻资讯的订阅等。

安全研究员 Anurag Sen 找到了该数据库,并通过中介网络安全公司 Hudson Rock 的首席执行官 Roi Carthy 向甲骨文报告了他的发现。

甲骨文发言人 Deborah Hellinger 回应称:“甲骨文已经意识到了这个安全漏洞与某些 BlueKai 记录可能会在互联网上公开。” “虽然研究人员提供的初始信息没有足够的信息来识别受影响的系统,但是 Oracle 的调查已经确定是因为旗下两家公司没有正确配置他们的服务网络导致的。Oracle 已经采取了其他措施来避免再次发生此类问题。”

不过甲骨文并没有说明这些额外补救措施是什么,安全研究员 Anurag Sen 认为,这个公开数据库的庞大规模可能是今年最大的数据安全漏洞之一。

数据公司如何全方位 “了解” 你?

BlueKai 依靠从各种来源收集永无止境的数据来了解互联网用户趋势,从而向人们提供最精确的广告。

营销人员可以利用甲骨文庞大的数据库,它从信贷机构、分析公司和其他消费者数据源,包括数十亿个每日位置数据点中提取信息来定位广告,营销人员也可以上传直接从消费者那里获得的数据,例如你在网站上注册帐户时所交出的信息。

此外,BlueKai 还使用了更多隐秘的策略,例如允许网站在打开页面后嵌入不可见的像素大小的图像,以收集有关您的信息、硬件、操作系统、浏览器以及有关网络连接的更多信息。这种数据被称为网络浏览器的“用户代理”,单方数据似乎并不敏感,但是多方数据融合在一起后,就可以创建一个人、一台设备的唯一 “数据画像”,当用户浏览互联网时就可以用来跟踪该人的网络行踪。

图|基本的用户数据搜集流程(来源:Techcrunch)

假设某位营销人员试图推广一种新车型。就 BlueKai 而言,它已经具有 “汽车爱好者” 类别,以及许多其他更细分的子类别,营销人员可以使用它们来定位广告,访问过汽车制造商网站或被 BlueKai 跟踪的任何人都可能被归类为 “汽车迷”,随着时间的流逝,该个人资料将被分类到不同的类别中,大数据分析会尽可能多地了解你,从而可以通过这些精准广告来不断影响你,轻松地通过可能吸引你点击的赚钱广告位来定位你。

在保障用户私人数据的情况下精准推送广告,现在人也是可接受的。在幕后,BlueKai 不断根据每个人的个人资料摄取和匹配尽可能多的原始个人数据,并不断丰富该个人资料,以确保其更新和相关。

据安全研究员 Anurag Sen 的报告发现,一条记录详细说明了一位德国男子如何使用预付借记卡于 4 月 19 日在电子竞技博彩网站上投注 10 欧元的赌注,该记录直接包含该男子的家庭住址、电话号码和电子邮件地址等。

还有一笔记录显示,土耳其最大的投资控股公司之一是如何使用 BlueKai 跟踪其网站用户的。该记录详细说明了一个住在伊斯坦布尔的人如何从一家家居用品商店在线订购价值 899 美元的家具,同样,记录包含所有用户关键信息,如买方的姓名、电子邮件地址和商品订单信息。Sen 称,用户数据回传了几个月,一些日志可以追溯到 2019 年 8 月。

电子前沿基金会(简称 EFF)的资深技术人员 Bennett Cyphers 表示:“关于人们网络浏览习惯的细粒度记录可以揭示出自己的爱好、政治归属、收入等级、健康状况、兴趣爱好甚至更私密的数据。” “随着我们的网上生活越来越多,这类数据在我们度过的时间中所占的比例越来越大。”

甲骨文拒绝透露是否已就此事件向美国或国际监管机构发出警告。根据美国加州法律,甲骨文等公司必须公开披露数据安全事件,但甲骨文迄今尚未宣布,而根据欧洲的《通用数据保护条例》,甲骨文可能因违反数据保护和披露规则而面临占其全球年营业额高达 4% 的罚款。

图|用户数据被长期监视(来源:lunarline)

跟踪与窥视无处不在

网络时代,信息追踪器可以说是无处不在,一项估算表明,BlueKai 跟踪了所有 Web 流量的 1% 以上,每日数据的收集量惊人,并跟踪了一些世界上最大的网站,包括:亚马逊、ESPN、《福布斯》、Glassdoor、Healthline、MSN.com 和《纽约时报》等。

但是 BlueKai 只是行业的一个缩影,普通用户访问的几乎每个网站页面都包含着某种形式的隐形跟踪代码,这些代码会在你使用互联网服务时进行监视。

无形的跟踪器将你的 Web 浏览数据不断上传到云端的一个巨大数据库中,正是这些数据使很多互联网服务长期免费,为了保持免费,网站使用广告来产生收入,广告越有针对性,就应该会有更好的收入,但很少有外部人能了解收集了多少用户数据以及如何处理这些数据,缺乏透明度。

跟一些 “强势” 的软件 APP 类似,无论如何,消费者除了接受条款外似乎别无选择,只有被跟踪或离开站点、卸载软件,这是免费网络服务的一种折衷方案。

Cyphers 说:“只要存在这样的数据库,数据就有可能落入到错误的人手中,并可能对某个用户利益造成损害。如果这些数据掌握在恶意软件的手中,则可能会导致身份盗用、网络钓鱼或跟踪窥探。”

他表示,这些庞大的数据库甚至可以推送操纵性广告,以处理诸如政治问题或霸王条款之类的事情,并且营销人员可以针对特定的弱势人群定制信息。

相比较欧美更严格的数据安全监管政策,企业对中国用户的数据搜集和使用环境则要宽松许多,很多用户对个人隐私数据的重视程度也并不足够高。每个人都有不同的事情要保密,当这些公司收集原始的网络浏览或购买数据时,一路上就会发现成千上万的用户真实生活细节,这些小细节中的每一个都有可能使某人面临隐私泄露风险。如何加强监管,保障弱势的用户权益?仍是一个未知数。

Copyright 2005-2024 逾仕科技(IT服务外包/系统集成), All Rights Reserved 备案/许可证号: 沪ICP备09088264号-6