數十億條用戶記錄被暴露,甲骨文或已引發今年最大(dà)的數據安全漏洞

時間:2020/6/22 10:32:40浏覽次數:1209

當你在使用浏覽器、電(diàn)商(shāng)購物(wù)軟件或者刷着短視頻(pín)的時候,是否思考過這樣一(yī)個問題:爲什麽剛剛想到一(yī)件事,在線廣告很快就有針對性地把相關産品推送給你了?

這已經不是什麽高深的技術能力,現在的 AI技術 + 廣告推送可以非常精準地實現這個目标,而精準的背後,則是對用戶更詳細和重要的個人信息進行記錄搜集。

科技巨頭甲骨文(Oracle)是矽谷少數幾家在互聯網跟蹤技術方面能力出衆的公司之一(yī)。近年來,它花費(fèi)了數十億美元投資(zī)并購初創公司,以建立自己的用戶網絡浏覽數據全景圖,其中(zhōng)一(yī)家公司叫 BlueKai,甲骨文在 2014 年用 4 億多美元将其收購,鮮爲人知(zhī)的一(yī)面是,它已經成了美國最大(dà)的網絡跟蹤數據公司之一(yī)

BlueKai 使用網站 Cookie 和其他跟蹤技術來捕獲你的網絡信息,通過了解你訪問了哪些網站以及打開(kāi)過哪些電(diàn)子郵件,營銷人員(yuán)可以使用大(dà)量的跟蹤數據來推斷出盡可能多的關于你的信息,例如你的收入水平、受教育程度、政治觀點和興趣愛好等,從而根據你的數據畫像投放(fàng)符合你口味的廣告,如果你點擊了,那麽廣告商(shāng)就會有一(yī)小(xiǎo)筆收入,通過聚沙成塔實現巨額收入。

據外(wài)媒 TechCrunch 披露,有一(yī)段時間,由于 BlueKai 服務器處于不安全狀态且沒有密碼,BlueKai 的網絡跟蹤數據不慎洩漏到了開(kāi)放(fàng)的互聯網上,從而使數十億條記錄可供任何人查找,在這些洩露的數據庫中(zhōng)可找到用戶的姓名、家庭住址、電(diàn)子郵件地址和其它可識别的數據,數據還顯示了敏感用戶的 Web 浏覽活動,從購買商(shāng)品到新聞資(zī)訊的訂閱等。

安全研究員(yuán) Anurag Sen 找到了該數據庫,并通過中(zhōng)介網絡安全公司 Hudson Rock 的首席執行官 Roi Carthy 向甲骨文報告了他的發現。

甲骨文發言人 Deborah Hellinger 回應稱:“甲骨文已經意識到了這個安全漏洞與某些 BlueKai 記錄可能會在互聯網上公開(kāi)。” “雖然研究人員(yuán)提供的初始信息沒有足夠的信息來識别受影響的系統,但是 Oracle 的調查已經确定是因爲旗下(xià)兩家公司沒有正确配置他們的服務網絡導緻的。Oracle 已經采取了其他措施來避免再次發生(shēng)此類問題。”

不過甲骨文并沒有說明這些額外(wài)補救措施是什麽,安全研究員(yuán) Anurag Sen 認爲,這個公開(kāi)數據庫的龐大(dà)規模可能是今年最大(dà)的數據安全漏洞之一(yī)。

數據公司如何全方位 “了解” 你?

BlueKai 依靠從各種來源收集永無止境的數據來了解互聯網用戶趨勢,從而向人們提供最精确的廣告。

營銷人員(yuán)可以利用甲骨文龐大(dà)的數據庫,它從信貸機構、分(fēn)析公司和其他消費(fèi)者數據源,包括數十億個每日位置數據點中(zhōng)提取信息來定位廣告,營銷人員(yuán)也可以上傳直接從消費(fèi)者那裏獲得的數據,例如你在網站上注冊帳戶時所交出的信息。

此外(wài),BlueKai 還使用了更多隐秘的策略,例如允許網站在打開(kāi)頁面後嵌入不可見的像素大(dà)小(xiǎo)的圖像,以收集有關您的信息、硬件、操作系統、浏覽器以及有關網絡連接的更多信息。這種數據被稱爲網絡浏覽器的“用戶代理”,單方數據似乎并不敏感,但是多方數據融合在一(yī)起後,就可以創建一(yī)個人、一(yī)台設備的唯一(yī) “數據畫像”,當用戶浏覽互聯網時就可以用來跟蹤該人的網絡行蹤。

圖|基本的用戶數據搜集流程(來源:Techcrunch)

假設某位營銷人員(yuán)試圖推廣一(yī)種新車(chē)型。就 BlueKai 而言,它已經具有 “汽車(chē)愛好者” 類别,以及許多其他更細分(fēn)的子類别,營銷人員(yuán)可以使用它們來定位廣告,訪問過汽車(chē)制造商(shāng)網站或被 BlueKai 跟蹤的任何人都可能被歸類爲 “汽車(chē)迷”,随着時間的流逝,該個人資(zī)料将被分(fēn)類到不同的類别中(zhōng),大(dà)數據分(fēn)析會盡可能多地了解你,從而可以通過這些精準廣告來不斷影響你,輕松地通過可能吸引你點擊的賺錢廣告位來定位你。

在保障用戶私人數據的情況下(xià)精準推送廣告,現在人也是可接受的。在幕後,BlueKai 不斷根據每個人的個人資(zī)料攝取和匹配盡可能多的原始個人數據,并不斷豐富該個人資(zī)料,以确保其更新和相關。

據安全研究員(yuán) Anurag Sen 的報告發現,一(yī)條記錄詳細說明了一(yī)位德國男子如何使用預付借記卡于 4 月 19 日在電(diàn)子競技博彩網站上投注 10 歐元的賭注,該記錄直接包含該男子的家庭住址、電(diàn)話(huà)号碼和電(diàn)子郵件地址等。

還有一(yī)筆記錄顯示,土耳其最大(dà)的投資(zī)控股公司之一(yī)是如何使用 BlueKai 跟蹤其網站用戶的。該記錄詳細說明了一(yī)個住在伊斯坦布爾的人如何從一(yī)家家居用品商(shāng)店(diàn)在線訂購價值 899 美元的家具,同樣,記錄包含所有用戶關鍵信息,如買方的姓名、電(diàn)子郵件地址和商(shāng)品訂單信息。Sen 稱,用戶數據回傳了幾個月,一(yī)些日志(zhì)可以追溯到 2019 年 8 月。

電(diàn)子前沿基金會(簡稱 EFF)的資(zī)深技術人員(yuán) Bennett Cyphers 表示:“關于人們網絡浏覽習慣的細粒度記錄可以揭示出自己的愛好、政治歸屬、收入等級、健康狀況、興趣愛好甚至更私密的數據。” “随着我(wǒ)(wǒ)們的網上生(shēng)活越來越多,這類數據在我(wǒ)(wǒ)們度過的時間中(zhōng)所占的比例越來越大(dà)。”

甲骨文拒絕透露是否已就此事件向美國或國際監管機構發出警告。根據美國加州法律,甲骨文等公司必須公開(kāi)披露數據安全事件,但甲骨文迄今尚未宣布,而根據歐洲的《通用數據保護條例》,甲骨文可能因違反數據保護和披露規則而面臨占其全球年營業額高達 4% 的罰款。

圖|用戶數據被長期監視(來源:lunarline)

跟蹤與窺視無處不在

網絡時代,信息追蹤器可以說是無處不在,一(yī)項估算表明,BlueKai 跟蹤了所有 Web 流量的 1% 以上,每日數據的收集量驚人,并跟蹤了一(yī)些世界上最大(dà)的網站,包括:亞馬遜、ESPN、《福布斯》、Glassdoor、Healthline、MSN.com 和《紐約時報》等。

但是 BlueKai 隻是行業的一(yī)個縮影,普通用戶訪問的幾乎每個網站頁面都包含着某種形式的隐形跟蹤代碼,這些代碼會在你使用互聯網服務時進行監視。

無形的跟蹤器将你的 Web 浏覽數據不斷上傳到雲端的一(yī)個巨大(dà)數據庫中(zhōng),正是這些數據使很多互聯網服務長期免費(fèi),爲了保持免費(fèi),網站使用廣告來産生(shēng)收入,廣告越有針對性,就應該會有更好的收入,但很少有外(wài)部人能了解收集了多少用戶數據以及如何處理這些數據,缺乏透明度。

跟一(yī)些 “強勢” 的軟件 APP 類似,無論如何,消費(fèi)者除了接受條款外(wài)似乎别無選擇,隻有被跟蹤或離(lí)開(kāi)站點、卸載軟件,這是免費(fèi)網絡服務的一(yī)種折衷方案。

Cyphers 說:“隻要存在這樣的數據庫,數據就有可能落入到錯誤的人手中(zhōng),并可能對某個用戶利益造成損害。如果這些數據掌握在惡意軟件的手中(zhōng),則可能會導緻身份盜用、網絡釣魚或跟蹤窺探。”

他表示,這些龐大(dà)的數據庫甚至可以推送操縱性廣告,以處理諸如政治問題或霸王條款之類的事情,并且營銷人員(yuán)可以針對特定的弱勢人群定制信息。

相比較歐美更嚴格的數據安全監管政策,企業對中(zhōng)國用戶的數據搜集和使用環境則要寬松許多,很多用戶對個人隐私數據的重視程度也并不足夠高。每個人都有不同的事情要保密,當這些公司收集原始的網絡浏覽或購買數據時,一(yī)路上就會發現成千上萬的用戶真實生(shēng)活細節,這些小(xiǎo)細節中(zhōng)的每一(yī)個都有可能使某人面臨隐私洩露風險。如何加強監管,保障弱勢的用戶權益?仍是一(yī)個未知(zhī)數。

IT服務外(wài)包
IT采購
弱電(diàn)工(gōng)程
系統集成
網絡安全

咨詢電(diàn)話(huà):

021-51697581
掃一(yī)掃,關注官方微信
實時掌握逾仕最新動态
Copyright 2005-2024 逾仕科技(IT服務外(wài)包/系統集成), All Rights Reserved 備案/許可證号: