數十億條用戶記錄被暴露,甲骨文或已引發今年最大的數據安全漏洞

時間:2020/6/22 10:32:40瀏覽次數:832

當你在使用瀏覽器、電商購物軟件或者刷著短視頻的時候,是否思考過這樣一個問題:為什么剛剛想到一件事,在線廣告很快就有針對性地把相關產品推送給你了?

這已經不是什么高深的技術能力,現在的 AI技術 + 廣告推送可以非常精準地實現這個目標,而精準的背后,則是對用戶更詳細和重要的個人信息進行記錄搜集。

科技巨頭甲骨文(Oracle)是硅谷少數幾家在互聯網跟蹤技術方面能力出眾的公司之一。近年來,它花費了數十億美元投資并購初創公司,以建立自己的用戶網絡瀏覽數據全景圖,其中一家公司叫 BlueKai,甲骨文在 2014 年用 4 億多美元將其收購,鮮為人知的一面是,它已經成了美國最大的網絡跟蹤數據公司之一

BlueKai 使用網站 Cookie 和其他跟蹤技術來捕獲你的網絡信息,通過了解你訪問了哪些網站以及打開過哪些電子郵件,營銷人員可以使用大量的跟蹤數據來推斷出盡可能多的關于你的信息,例如你的收入水平、受教育程度、政治觀點和興趣愛好等,從而根據你的數據畫像投放符合你口味的廣告,如果你點擊了,那么廣告商就會有一小筆收入,通過聚沙成塔實現巨額收入。

據外媒 TechCrunch 披露,有一段時間,由于 BlueKai 服務器處于不安全狀態且沒有密碼,BlueKai 的網絡跟蹤數據不慎泄漏到了開放的互聯網上,從而使數十億條記錄可供任何人查找,在這些泄露的數據庫中可找到用戶的姓名、家庭住址、電子郵件地址和其它可識別的數據,數據還顯示了敏感用戶的 Web 瀏覽活動,從購買商品到新聞資訊的訂閱等。

安全研究員 Anurag Sen 找到了該數據庫,并通過中介網絡安全公司 Hudson Rock 的首席執行官 Roi Carthy 向甲骨文報告了他的發現。

甲骨文發言人 Deborah Hellinger 回應稱:“甲骨文已經意識到了這個安全漏洞與某些 BlueKai 記錄可能會在互聯網上公開。” “雖然研究人員提供的初始信息沒有足夠的信息來識別受影響的系統,但是 Oracle 的調查已經確定是因為旗下兩家公司沒有正確配置他們的服務網絡導致的。Oracle 已經采取了其他措施來避免再次發生此類問題。”

不過甲骨文并沒有說明這些額外補救措施是什么,安全研究員 Anurag Sen 認為,這個公開數據庫的龐大規模可能是今年最大的數據安全漏洞之一。

數據公司如何全方位 “了解” 你?

BlueKai 依靠從各種來源收集永無止境的數據來了解互聯網用戶趨勢,從而向人們提供最精確的廣告。

營銷人員可以利用甲骨文龐大的數據庫,它從信貸機構、分析公司和其他消費者數據源,包括數十億個每日位置數據點中提取信息來定位廣告,營銷人員也可以上傳直接從消費者那里獲得的數據,例如你在網站上注冊帳戶時所交出的信息。

此外,BlueKai 還使用了更多隱秘的策略,例如允許網站在打開頁面后嵌入不可見的像素大小的圖像,以收集有關您的信息、硬件、操作系統、瀏覽器以及有關網絡連接的更多信息。這種數據被稱為網絡瀏覽器的“用戶代理”,單方數據似乎并不敏感,但是多方數據融合在一起后,就可以創建一個人、一臺設備的唯一 “數據畫像”,當用戶瀏覽互聯網時就可以用來跟蹤該人的網絡行蹤。

圖|基本的用戶數據搜集流程(來源:Techcrunch)

假設某位營銷人員試圖推廣一種新車型。就 BlueKai 而言,它已經具有 “汽車愛好者” 類別,以及許多其他更細分的子類別,營銷人員可以使用它們來定位廣告,訪問過汽車制造商網站或被 BlueKai 跟蹤的任何人都可能被歸類為 “汽車迷”,隨著時間的流逝,該個人資料將被分類到不同的類別中,大數據分析會盡可能多地了解你,從而可以通過這些精準廣告來不斷影響你,輕松地通過可能吸引你點擊的賺錢廣告位來定位你。

在保障用戶私人數據的情況下精準推送廣告,現在人也是可接受的。在幕后,BlueKai 不斷根據每個人的個人資料攝取和匹配盡可能多的原始個人數據,并不斷豐富該個人資料,以確保其更新和相關。

據安全研究員 Anurag Sen 的報告發現,一條記錄詳細說明了一位德國男子如何使用預付借記卡于 4 月 19 日在電子競技博彩網站上投注 10 歐元的賭注,該記錄直接包含該男子的家庭住址、電話號碼和電子郵件地址等。

還有一筆記錄顯示,土耳其最大的投資控股公司之一是如何使用 BlueKai 跟蹤其網站用戶的。該記錄詳細說明了一個住在伊斯坦布爾的人如何從一家家居用品商店在線訂購價值 899 美元的家具,同樣,記錄包含所有用戶關鍵信息,如買方的姓名、電子郵件地址和商品訂單信息。Sen 稱,用戶數據回傳了幾個月,一些日志可以追溯到 2019 年 8 月。

電子前沿基金會(簡稱 EFF)的資深技術人員 Bennett Cyphers 表示:“關于人們網絡瀏覽習慣的細粒度記錄可以揭示出自己的愛好、政治歸屬、收入等級、健康狀況、興趣愛好甚至更私密的數據。” “隨著我們的網上生活越來越多,這類數據在我們度過的時間中所占的比例越來越大。”

甲骨文拒絕透露是否已就此事件向美國或國際監管機構發出警告。根據美國加州法律,甲骨文等公司必須公開披露數據安全事件,但甲骨文迄今尚未宣布,而根據歐洲的《通用數據保護條例》,甲骨文可能因違反數據保護和披露規則而面臨占其全球年營業額高達 4% 的罰款。

圖|用戶數據被長期監視(來源:lunarline)

跟蹤與窺視無處不在

網絡時代,信息追蹤器可以說是無處不在,一項估算表明,BlueKai 跟蹤了所有 Web 流量的 1% 以上,每日數據的收集量驚人,并跟蹤了一些世界上最大的網站,包括:亞馬遜、ESPN、《福布斯》、Glassdoor、Healthline、MSN.com 和《紐約時報》等。

但是 BlueKai 只是行業的一個縮影,普通用戶訪問的幾乎每個網站頁面都包含著某種形式的隱形跟蹤代碼,這些代碼會在你使用互聯網服務時進行監視。

無形的跟蹤器將你的 Web 瀏覽數據不斷上傳到云端的一個巨大數據庫中,正是這些數據使很多互聯網服務長期免費,為了保持免費,網站使用廣告來產生收入,廣告越有針對性,就應該會有更好的收入,但很少有外部人能了解收集了多少用戶數據以及如何處理這些數據,缺乏透明度。

跟一些 “強勢” 的軟件 APP 類似,無論如何,消費者除了接受條款外似乎別無選擇,只有被跟蹤或離開站點、卸載軟件,這是免費網絡服務的一種折衷方案。

Cyphers 說:“只要存在這樣的數據庫,數據就有可能落入到錯誤的人手中,并可能對某個用戶利益造成損害。如果這些數據掌握在惡意軟件的手中,則可能會導致身份盜用、網絡釣魚或跟蹤窺探。”

他表示,這些龐大的數據庫甚至可以推送操縱性廣告,以處理諸如政治問題或霸王條款之類的事情,并且營銷人員可以針對特定的弱勢人群定制信息。

相比較歐美更嚴格的數據安全監管政策,企業對中國用戶的數據搜集和使用環境則要寬松許多,很多用戶對個人隱私數據的重視程度也并不足夠高。每個人都有不同的事情要保密,當這些公司收集原始的網絡瀏覽或購買數據時,一路上就會發現成千上萬的用戶真實生活細節,這些小細節中的每一個都有可能使某人面臨隱私泄露風險。如何加強監管,保障弱勢的用戶權益?仍是一個未知數。

VIP客戶

  • 上海長寧煙草集團長寧煙草糖酒有限公司
  • 艾蒙斯特朗流體系統(上海)有限公司
  • 莫泰酒店上海桃浦店監控系統服務
  • 上海莘莊市容市政管理有限公司
  • 締展國際貿易(上海)有限公司
  • 康百世朝田液壓機電(中國)有限公司

咨詢電話:

021-51697581
掃一掃,關注官方微信
實時掌握逾仕最新動態
Copyright 2005-2021 逾仕科技(IT服務外包/系統集成), All Rights Reserved 備案/許可證號: 滬ICP備09088264號-6
021-51697581
在線客服

在線咨詢Online consulting

  • 點擊這里給我發消息
  • 點擊這里給我發消息
  • 點擊這里給我發消息
  • 點擊這里給我發消息
  • 點擊這里給我發消息
  • 點擊這里給我發消息
感謝您訪問逾仕官方網站,如果您有好的意見或建議,請與我們聯系!
400-880-7581