021-51079200

易控网盾数据防泄密系统

专注文件加密15年,从源头防止数据泄密,打造安全网络环境

全球数十亿条用户数据信息遭泄露 或引发数据安全大事件

在甲骨文的广告技术部,存储有全世界数十亿人的数据库记录被泄露,因为服务器处于不安全状态,而且没有设置密码。

《全球数十亿条用户数据信息遭泄露 或引发数据安全大事件》

推荐阅读:如何使用文件加密软件保护企业重要数据?

2014年,甲骨文以4亿多美元收购了初创企业BlueKai,并将其产品添加到甲骨文的数据云(ODC)和营销云(OMC)。

BlueKai通过cookie和其他跟踪技术监控网络上的用户,为第三方提供数据收集服务,并维护一个大型数据库。在甲骨文的支持下,蓝凯发展迅速。根据Whotracks网站的估计,蓝凯追踪了超过1%的网络流量。

然而,长期以来,保存这些数据的服务器根本没有设置密码,导致网络跟踪数据在开放的互联网上被完全泄露。

其中,任何人都可以随时查看数十亿条记录。

暴露的记录显示出很高的透明度,包括姓名、家庭地址、电子邮件和其他个人信息,如支付交易,因此用户的在线活动可以通过他们的“数字肖像”被长期跟踪。

例如,其中一条记录可能是针对一名德国男子(他的真实姓名隐藏在此处),他于4月19日在电子体育博彩网站上购买了10欧元的纸币代码,包括该男子的住址、电话号码和电子邮件地址。根据另一项记录,一名居住在伊斯坦布尔的用户曾在一家家居用品商店在线购买价值899美元的家具,其中包含买家的详细信息,包括买家订单的真实姓名、电子邮件地址和在线链接。

安全研究员阿努拉格森发现了这个数据库,并向甲骨文公司报告了他的发现。然后甲骨文使数据库离线。然而,暴露数据库的巨大规模使其成为今年最大的安全违规之一。

事件回顾

技术巨头甲骨文公司是硅谷少数几家在互联网跟踪技术领域实力雄厚的企业之一。该公司花费数十亿美元收购了许多初创企业,并建立了用户网络浏览数据的综合视图。2014年,甲骨文以超过4亿美元的价格收购了初创企业BlueKai。

BlueKai使用cookies和其他跟踪技术来监控用户的网络趋势,不断从各种来源收集数据来了解市场趋势,并结合人们的兴趣发布最准确的广告内容。营销人员可以利用甲骨文的庞大数据库,通过信用机构、分析公司和其他消费者数据源(包括每天数十亿个数据点)获取信息,最终确定最符合受众口味的广告内容。此外,营销人员还可以上传消费者的分类个人数据,如注册网站或订阅商业新闻时需要提交的个人信息。这部分数据看起来并不敏感,但在相互融合后,它可以为个人用户及其设备创建一个独特的“指纹”,从而跟踪彼此在互联网上的浏览趋势。

BlueKai还可以将用户的移动浏览习惯与桌面行为联系起来,并确保用户可以通过互联网跟踪他们的活动,无论他们使用何种设备。

BlueKai收集的内容越多,用户偏好的推断就越准确,从而帮助广告商以更有针对性的方式向不同群体发送不同的促销内容。

然而,长期以来,存储这类数据的服务器根本没有设置密码,导致网络跟踪数据在开放的互联网上被完全泄露。其中,任何人都可以随时查看数十亿条记录。

安全研究员阿努拉格森发现了这个数据库,并通过网络安全公司哈德逊岩石公司的首席执行官罗伊卡奇向甲骨文报告了他的发现。

根据森提供的数据,可以找到用户的姓名、家庭地址、电子邮件地址和其他身份相关数据。这些数据还包括用户的各种敏感的网络浏览活动,如网上购物和新闻退订。

甲骨文发言人黛博拉海灵格指出,“甲骨文发现,赫德森岩石公司的罗伊卡奇报告的一些蓝凯记录属于网络公共信息。尽管研究人员提供的初始信息不足以判断哪些系统受到影响,但甲骨文发现,在随后的调查中,有两个客户未能正确配置相关服务。甲骨文已采取措施防止此类问题再次发生。”

泄露的信息极其透明

在幕后,BlueKai不断提取和匹配尽可能多的个人原始数据,并将它们与个人数据进行匹配,从而丰富对个人的了解并跟踪他们的最新发展。

但最终,大量原始数据从暴露的数据库中泄露出来。

根据此次曝光的记录,我们发现一名德国男子(真名隐藏在此)于4月19日在电子体育博彩网站上购买了一张10欧元的纸币。该记录还包括该男子的住址、电话号码和电子邮件地址。让我们看看另一个记录,显示土耳其最大的投资控股公司之一使用蓝凯服务跟踪其网站用户。根据记录,一个住在伊斯坦布尔的用户曾经在网上一家家庭用品店购买了价值899美元的家具。这种记录包含买方的详细信息,包括买方订单的真实姓名、电子邮件地址和在线链接等。

在另一个记录中,详细记录了用户如何取消新闻邮件订阅服务。记录显示此人可能对某种特定类型的行车记录仪感兴趣。根据用户代理信息,我们甚至可以发现他的iPhone系统版本已经过时,需要软件更新。

《全球数十亿条用户数据信息遭泄露 或引发数据安全大事件》

BlueKai收集的数据越多,推断个人用户就越准确。自然,蓝凯更有能力发布适合个人口味的广告来盈利。
据数据库发现者森称,泄露的数据库包含几个月的信息,有些记录甚至可以追溯到2019年8月。

EFF的Cyphers指出,“对人们上网习惯的详细分析可以揭示相应用户的个人爱好、政治倾向、收入水平、健康状况、性取向和赌博习惯。随着我们网络生活的逐渐丰富,这类数据在日常生活中的比例也在不断增加。"

监控无处不在

BlueKai无处不在,真正意义上它无处不在。据估计,蓝凯追踪的网络流量占全球总流量的1%以上,其每日平均数据收集量非常惊人。此外,亚马逊, ESPN、福布斯,玻璃门、健康热线、李维斯、MSN.com、烂番茄和纽约时报等世界顶级网站已成为其监控对象。但我们不应该只关注BlueKai。

2000年后,大数据营销企业蜂拥而至,类似的DMP数据管理平台在数字化转型过程中具有战略意义,相关数据服务也在不断拓展。

几乎我们访问的每一个网站都包含某种形式的隐藏跟踪代码,用来监控浏览者在互联网上的行为。这些隐藏的追踪器会将网络浏览数据发送到云中的一个巨大数据库,正是这些数据背后的经济价值让整个互联网长时间免费运行。尽管大多数网络用户早就意识到这种无处不在的跟踪,但营销行业之外的人担心,很难想象涉及多少数据以及相关组织如何处理这些数据。

以2017年引起轩然大波的Equifax数据泄露案为例。Equifax未经许可从数百万消费者那里收集数据,这遭到了立法者的严厉批评。像蓝凯一样,Equifax在一份无聊而冗长的隐私政策中写下了所有这些跟踪行为,但是谁会让普通消费者仔细阅读呢?即使你仔细阅读,消费者也别无选择,只能被动地接受它。要么被追踪要么被抛弃。如果你想免费上网,你必须付出代价。只要这样一个数据库还存在,这些数据总有一天会落入坏人之手,造成灾难性的后果。每个人都应该有自己的秘密,也有权不被某些人窥探。当一个企业收集原始的网络浏览或购买数据时,无论多么不敏感,它都不可避免地包含了无尽的现实生活细节。

正是这些小细节可能让每个人都面临潜在的风险。

点赞