信息化觀察網

Oracle的廣告技術部門，因服務器處于不安全且未設置密碼的狀態(tài)，導致數(shù)據庫中全球數(shù)十億人的記錄被泄露。

Oracle于2014年以超過4億美元的價格收購了初創(chuàng)企業(yè)BlueKai，并將其產品添加到Oracle的數(shù)據云（ODC）和營銷云（OMC）中。BlueKai通過cookie和其他跟蹤技術監(jiān)視網絡上的用戶，并為第三方提供數(shù)據收集服務，同時維護著一個大型數(shù)據庫。因為背后有Oracle的支撐，BlueKai的發(fā)展相當迅速。據Whotracks網站估計，BlueKai跟蹤了所有Web流量的1％以上。

但在相當長的一段時期內，保存這些數(shù)據的服務器壓根沒有設置密碼，導致網絡跟蹤數(shù)據被全面泄露在公開互聯(lián)網上。

其中的數(shù)十億條記錄，隨時可供任何人翻閱查看。

曝光出來的這些記錄，顯示出極高的透明度，包含姓名、家庭住址、電子郵件和其他比如付款交易等個人信息，因此通過用戶的“數(shù)字畫像”可以長期追蹤他的在線活動。

例如其中一條記錄，可以具體到某德國男子（這里隱去真實姓名）曾在4月19號在電子競技博彩網站上購買了10歐元的注碼，還包含該男子的居住地址、電話號碼與電子郵件地址。另一條記錄顯示，一位住在伊斯坦布爾的用戶曾在一家家居用品商店在線購買了價值899美元的家具，內含買家的詳細信息，包括真實姓名、電子郵件地址以及買家訂單的網絡鏈接等。

安全研究員Anurag Sen發(fā)現(xiàn)了該數(shù)據庫，并向Oracle方面報告了自己的發(fā)現(xiàn)。隨后Oracle將數(shù)據庫進行了脫機處理。但不管怎么樣，此次曝光數(shù)據庫的龐大規(guī)模都使其成為今年發(fā)生的最大安全違規(guī)事件之一。

1、事件回顧

科技巨頭Oracle是少數(shù)幾家在互聯(lián)網跟蹤技術領域擁有強勁實力的硅谷企業(yè)之一。該公司斥資數(shù)十億美元收購眾多初創(chuàng)企業(yè)，并借此構建起全面的用戶網絡瀏覽數(shù)據視圖。初創(chuàng)公司BlueKai于2014年以超過4億美元的價碼被Oracle收入囊中。

BlueKai使用網站cookies及其他跟蹤技術監(jiān)視用戶的網絡動向，依靠從各種來源不停地收集數(shù)據以了解市場動態(tài)，并結合人們的利益訴求發(fā)布最精準的廣告內容。

營銷人員可以利用Oracle龐大的數(shù)據庫，通過信用機構、分析企業(yè)以及其他消費者數(shù)據源（包括日均數(shù)十億個數(shù)據點位置）獲取信息，最終確定最符合受眾口味的廣告內容。此外，營銷人員也可以上傳經過整理的消費者個人數(shù)據，例如注冊網站或訂閱商業(yè)新聞時需要提交的個人信息。

這部分數(shù)據看似并不敏感，但在彼此融合之后，卻能夠為個人用戶及其設備創(chuàng)建出唯一“指紋”，借此跟蹤對方在互聯(lián)網上的瀏覽動向。

BlueKai還能夠將用戶的移動網絡瀏覽習慣與桌面行為聯(lián)系起來，保證無論用戶使用哪種設備，都可以通過互聯(lián)網跟蹤他們的活動。

BlueKai收集到的內容越多，對用戶喜好的推理就越準確，進而幫助廣告商們更加有的放矢地向不同群體發(fā)送不同宣傳內容。

但在相當長的一段時期內，保存這類數(shù)據的服務器壓根沒有設置密碼，導致網絡跟蹤數(shù)據被全面泄露在公開互聯(lián)網上。其中的數(shù)十億條記錄，隨時可供任何人翻閱查看。

安全研究員Anurag Sen發(fā)現(xiàn)了該數(shù)據庫，并以網絡安全公司Hudson Rock首席執(zhí)行官Roi Carthy為中間人向Oracle方面報告了自己的發(fā)現(xiàn)。

根據Sen提供的數(shù)據，可以從中找到用戶姓名、家庭住址、電子郵件地址以及其他身份相關數(shù)據。數(shù)據中還包含用戶的各類敏感網絡瀏覽活動，例如網上購物及新聞退訂等各類操作。

Oracle公司發(fā)言人Deborah Hellinger指出，“甲骨文公司發(fā)現(xiàn)，Hudson Rock公司Roi Carthy上報的部分BlueKai記錄屬于網絡公開信息。雖然研究人員提供的初始信息不足以判斷到底是哪些系統(tǒng)受到影響，但甲骨文在隨后的調查中，發(fā)現(xiàn)確實有兩家客戶未能正確配置相關服務。甲骨文已經采取措施以避免此類問題再次發(fā)生。”

2、泄露的信息透明度極高

在幕后，BlueKai在不斷提取并匹配盡可能多的個人原始數(shù)據，并將其與個人資料加以匹配，據此持續(xù)豐富對個體的了解并跟蹤其最新動態(tài)。

但最終，大量原始數(shù)據從暴露在外的數(shù)據庫中泄露出來。

根據此次曝光的一條記錄，我們發(fā)現(xiàn)某德國男子（這里隱去真實姓名）曾在4月19號在電子競技博彩網站上購買了10歐元的注碼。記錄中還包含該男子的居住地址、電話號碼與電子郵件地址。

再來看另一條記錄，其中顯示土耳其國內最大的投資控股公司之一使用BlueKai服務對其網站用戶進行跟蹤。記錄顯示，一位住在伊斯坦布爾的用戶曾在一家家居用品商店中在線購買了價值899美元的家具。這類記錄中包含了買家的詳細信息，包括真實姓名、電子郵件地址以及買家訂單的網絡鏈接等等。

在另一條記錄中，詳細記錄了某位用戶如何取消新聞郵件訂閱服務。記錄顯示，此人可能對特定型號的行車記錄儀很感興趣。根據用戶代理信息，我們甚至可以發(fā)現(xiàn)他的iPhone系統(tǒng)版本已經陳舊，需要進行軟件更新。

BlueKai收集的數(shù)據越多，對個人用戶的推斷結論也就越準確，自然更有能力發(fā)布符合個人口味的廣告來賺取利潤。

據數(shù)據庫發(fā)現(xiàn)者Sen介紹，泄露的數(shù)據庫中包含為期數(shù)個月的信息，部分記錄甚至可以追溯到2019年8月。

EFF的Cyphers指出，“對人們網絡瀏覽習慣的細化分析，可以揭示出對應用戶的個人愛好、政治傾向、收入水平、健康狀況、性取向以及賭博習慣等。隨著我們網絡生活的逐漸豐富，這類數(shù)據在日常生活中所占的比重也越來越大。”

3、監(jiān)控無所不在

BlueKai無處不在，真正意義上的無處不在。一項估算表明，BlueKai跟蹤的網絡流量占全球總體流量中的1%以上——其日均數(shù)據收集量極為驚人，而且亞馬遜、ESPN、福布斯、Glassdoor、Healthline、Levi’s、MSN.com、Rotten Tomatoes以及紐約時報等全球頂尖網站都成為其監(jiān)控對象。

但我們要關注的絕不只是BlueKai。

2000年后大數(shù)據營銷企業(yè)蜂擁而起，類似的DMP數(shù)據管理平臺在數(shù)字化轉型過程中具有戰(zhàn)略意義，因此相關的數(shù)據業(yè)務不斷在擴大。

我們訪問的幾乎每一個網站，都或多或少包含有某種形式的隱性跟蹤代碼，用于在訪客遍歷互聯(lián)網時實施監(jiān)視。這些隱性跟蹤器會將網絡瀏覽數(shù)據發(fā)送至云端一套巨大的數(shù)據庫內，也正是這些數(shù)據背后帶來的經濟價值讓整個互聯(lián)網得以長期免費運行。盡管大多數(shù)網絡用戶早已意識到這種無處不在的跟蹤，但營銷行業(yè)之外的人們恐怕仍難以想象這其中到底涉及多少數(shù)據、相關機構又在怎樣處理數(shù)據。

以2017年引起軒然大波的Equifax數(shù)據泄露案為例，Equifax在未經許可的情況下從數(shù)百萬消費者處收集數(shù)據，受到立法者們的嚴厲抨擊。與BlueKai一樣，Equifax公司把這些跟蹤行為都寫在了枯燥冗長的隱私政策里頭，但普通消費者誰又會去認真閱讀呢？而且就算認真看過，消費者除了被動接受之外也別無選擇。要么被跟蹤，要么放棄使用。想要免費上網，就必須付出點代價。

只要這樣的數(shù)據庫仍然存在，數(shù)據就終有一天會落入錯誤的人手中，并引發(fā)災難性后果。每個人都應該擁有自己的秘密，也都擁有不被某些人群窺探的權利。當企業(yè)收集原始網頁瀏覽或購買數(shù)據時，無論如何脫敏，其中都必然包含無窮無盡的真實生活細節(jié)。

正是這些小小細節(jié)，或許會讓每一個人身陷潛在的風險當中。