信息化觀察網(wǎng)

當你在使用瀏覽器、各種App或時候，是否思考過這樣一個問題：為什么剛剛想到什么，在線廣告很快就有針對性地把相關(guān)產(chǎn)品推送到的瀏覽器或者App信息信息流里了？這并不是什么大陰謀，只是現(xiàn)在的廣告科技精準到令人發(fā)怵。而精準的背后，則是對用戶更詳細和重要的個人信息進行記錄搜集。

科技巨頭甲骨文公司是硅谷少數(shù)幾家在互聯(lián)網(wǎng)跟蹤技術(shù)方面能力出眾的公司之一。該公司近年來花費了數(shù)十億美元投資并購初創(chuàng)企業(yè)，以建立自己的用戶網(wǎng)絡(luò)瀏覽數(shù)據(jù)全景畫像。其中一家初創(chuàng)公司叫BlueKai，甲骨文2014年以4億多美元代價將其收購，這家公司在市場營銷圈外鮮為人知，但它可能是聯(lián)邦政府以外聚集了最大規(guī)模的的網(wǎng)絡(luò)跟蹤數(shù)據(jù)的企業(yè)之一。

BlueKai使用網(wǎng)站cookies和其它跟蹤技術(shù)來跟蹤你的網(wǎng)絡(luò)。通過了解你訪問的網(wǎng)站和你打開的電子郵件，營銷人員可以利用大量的跟蹤數(shù)據(jù)盡可能推斷出你的情況——你的收入、教育程度、政治觀點和興趣等等，從而根據(jù)你的數(shù)據(jù)畫像投放符合你口味的廣告。如果你點擊，廣告媒體就會賺錢。

但據(jù)知情媒體披露，有一段時間，由于其一臺服務(wù)器沒有密碼，這個安全漏洞使網(wǎng)絡(luò)跟蹤數(shù)據(jù)泄露到開放的互聯(lián)網(wǎng)上，數(shù)十億條記錄被暴露，可供任何人查找。安全研究員Anurag Sen發(fā)現(xiàn)了這個數(shù)據(jù)庫，并通過一個中介人——Roi Carthy，網(wǎng)絡(luò)安全公司Hudson Rock的首席執(zhí)行官和前TechCrunch記者，向甲骨文報告了他的發(fā)現(xiàn)。TechCrunch查看了Sen共享的數(shù)據(jù)，在數(shù)據(jù)庫中找到了姓名、家庭地址、電子郵件地址和其它可識別的數(shù)據(jù)。該數(shù)據(jù)還顯示了敏感用戶的網(wǎng)絡(luò)瀏覽活動——從購買到退訂郵件列表。

電子前沿基金會（Electronic Frontier Foundation）的技術(shù)人員Bennett Cyphers對TechCrunch表示：“我們真的不知道這些數(shù)據(jù)會有多大的暴露。”

甲骨文發(fā)言人Deborah Hellinger說：“甲骨文知道Hudson Rock的Roi Carthy所做的報告，該報告與某些可能在互聯(lián)網(wǎng)上曝光的BlueKai記錄有關(guān)。”“雖然研究人員提供的初始信息不足以識別受影響的系統(tǒng)，但甲骨文的調(diào)查隨后確定，有兩家公司沒有正確配置其服務(wù)。甲骨文已采取額外措施，以避免這一問題再次發(fā)生。”

甲骨文并沒有說明這些額外補救措施是什么，安全研究員Anurag Sen認為，這個公開數(shù)據(jù)庫的龐大規(guī)模可能是今年最大的數(shù)據(jù)安全漏洞之一。

數(shù)據(jù)的大熔爐

BlueKai依靠從各種來源收集永無止境的數(shù)據(jù)來了解互聯(lián)網(wǎng)用戶畫像和意圖，從而向人們提供最精確的廣告。

營銷人員可以利用甲骨文龐大的數(shù)據(jù)庫，包括信貸機構(gòu)、分析公司和其他消費者數(shù)據(jù)源，包括每天數(shù)十億個地理位置數(shù)據(jù)點中提取信息來定位廣告，營銷人員也可以上傳直接從消費者那里獲得的數(shù)據(jù)，例如你在網(wǎng)站上注冊帳戶時所交出的信息。

同時，BlueKai還使用了更多隱蔽的策略，例如在許多網(wǎng)站在頁面嵌入不可見的像素代碼，以收集有關(guān)網(wǎng)頁訪客的信息、硬件、操作系統(tǒng)、瀏覽器以及有關(guān)網(wǎng)絡(luò)連接的更多信息。這種數(shù)據(jù)被稱為網(wǎng)絡(luò)瀏覽器的“用戶代理”，單方數(shù)據(jù)似乎并不敏感，但當融合在一起時，它可以為一個消費者的設(shè)備創(chuàng)建一個獨特的“指紋”，在他們?yōu)g覽互聯(lián)網(wǎng)時可以用來跟蹤這個消費者。

BlueKai還有能力實現(xiàn)跨屏分析，可以將你的移動網(wǎng)絡(luò)瀏覽習慣與臺式電腦活動聯(lián)系起來，讓它在互聯(lián)網(wǎng)上跟蹤你，無論你使用哪種設(shè)備。

圖:基本的用戶數(shù)據(jù)搜集流程

假設(shè)某位營銷人員試圖推廣一種新車型。就BlueKai而言，它已經(jīng)具有“汽車愛好者”類別，以及許多其他更細分的子類別，營銷人員可以使用它們來定位廣告，訪問過汽車制造商網(wǎng)站或被BlueKai跟蹤的任何人都可能被歸類為“汽車愛好者”，隨著時間推移，該個人資料將被分類到不同的類別中，大數(shù)據(jù)分析會盡可能多地了解你，從而可以通過精準廣告來不斷影響你。

在保障用戶私人數(shù)據(jù)的情況下精準推送廣告，現(xiàn)在人們也是可接受的。在幕后，BlueKai不斷根據(jù)每個人的個人資料攝取和匹配盡可能多的原始個人數(shù)據(jù)，并不斷豐富該個人資料，以確保其更新和相關(guān)。

雖然這項技術(shù)還遠非完美。今年早些時候，《哈佛商業(yè)評論》發(fā)現(xiàn)，甲骨文等數(shù)據(jù)經(jīng)紀商所收集的信息質(zhì)量可能存在很大差異。但事實證明，其中一些平臺的準確性驚人。普林斯頓大學科學教授Jonathan Mayer告訴TechCrunch，BlueKai是關(guān)聯(lián)數(shù)據(jù)的領(lǐng)先系統(tǒng)之一。“如果你讓瀏覽器同時發(fā)送一個電子郵件地址和一個跟蹤cookie，這就是你需要建立的連接，”他說。最終目標：BlueKai收集的信息越多，它就越能推斷出你的情況，從而更容易吸引你點擊廣告創(chuàng)造收益。

但一位營銷專業(yè)人士告訴TechCrunch，營銷人員并不能登錄BlueKai，然后從其服務(wù)器下載大量個人信息。數(shù)據(jù)是經(jīng)過脫敏和加密的，營銷人員永遠看不到姓名、地址或任何其它個人數(shù)據(jù)。正如Mayer解釋的那樣：BlueKai收集個人數(shù)據(jù)；它不與營銷人員共享。

細思恐極的泄露

在幕后，BlueKai不斷地獲取和匹配盡可能多的原始個人數(shù)據(jù)，并根據(jù)每個人的個人資料進行匹配，不斷豐富個人資料數(shù)據(jù)，以確保其是最新的和相關(guān)的。

但正是這原始數(shù)據(jù)從數(shù)據(jù)庫中被泄露。

TechCrunch發(fā)現(xiàn)了包含私人購買細節(jié)的記錄。其中一份記錄詳細記錄了4月19日，一名德國男子（他的名字被我們隱掉了），用一張預付借記卡在一家電子競技博彩網(wǎng)站下注10歐元。記錄中還包括這名男子的地址、電話號碼和電子郵件地址。

另一項記錄顯示，土耳其最大的投資控股公司之一是如何利用BlueKai在其網(wǎng)站上跟蹤用戶的。這份記錄詳細記錄了一位住在伊斯坦布爾的人是如何從一間家居用品商店在線訂購價值899美元的家具的。我們得以知道這些，是因為該記錄包含了所有細節(jié)，包括買方的姓名、電子郵件地址和買方訂單的直接網(wǎng)址。

我們還看到了一條記錄，詳細記錄了一個訪客是如何從一個消費電子產(chǎn)品的電子郵件推廣中退訂的，郵件是發(fā)送到他的iCloud地址。記錄顯示，此人可能對某一特定型號的汽車行車記錄儀感興趣。我們甚至可以根據(jù)他的用戶代理（UA）判斷他的iPhone已經(jīng)過時，需要軟件更新。

據(jù)發(fā)現(xiàn)數(shù)據(jù)庫的Sen說，這些數(shù)據(jù)可以追溯到幾個月前。他說，一些日志可以追溯到2019年8月。

EFF的Cyphers說：“對人們上網(wǎng)習慣的細顆粒數(shù)據(jù)記錄可以揭示出他們的愛好、政治傾向、收入等級、健康狀況、性取向，甚至賭博習慣。”“隨著我們越來越多地生活于網(wǎng)上，這類數(shù)據(jù)也收集到我們越來越多的消費時間。”

甲骨文拒絕透露是否將安全漏洞告知了那些數(shù)據(jù)被曝光的人。該公司也拒絕透露是否已就此事向美國或國際監(jiān)管機構(gòu)發(fā)出警告。根據(jù)加州法律，甲骨文等公司必須公開披露數(shù)據(jù)安全事件，但甲骨文迄今尚未宣布該泄露事件。當記者聯(lián)系到加州總檢察長辦公室的一位發(fā)言人時，他拒絕透露甲骨文是否已將此事告知該辦公室。根據(jù)歐洲的GDPR規(guī)則，公司可能會因藐視數(shù)據(jù)保護和披露規(guī)則而面臨高達其全球年營業(yè)額4%的罰款。

無處不在的追蹤代碼

BlueKai無處不在——即使你看不見它的追蹤技術(shù)。

據(jù)業(yè)內(nèi)專家估計，BlueKai追蹤了超過1%的網(wǎng)絡(luò)流量，這是一個海量的每日數(shù)據(jù)收集規(guī)模，并包含了追蹤一些世界上最大的網(wǎng)站的訪客：亞馬遜、ESPN、福布斯、Glassdoor、Healthline、Levi’s，MSN.com，RottenTomatoes，還有紐約時報。甚至本篇文章(TechCrunch.com)也有一個BlueKai跟蹤器，因為我們的母公司Verizon Media是BlueKai的合作伙伴。

BlueKai并不是唯一進行這種操作的公司。幾乎你所訪問的每一個網(wǎng)站都包含某種形式的不可見跟蹤代碼，當你瀏覽互聯(lián)網(wǎng)時，這些技術(shù)會對你進行分析。盡管隱形追蹤器正在把你的網(wǎng)絡(luò)瀏覽數(shù)據(jù)輸入云中的一個巨大的數(shù)據(jù)庫，但正是這些數(shù)據(jù)讓互聯(lián)網(wǎng)內(nèi)容和服務(wù)基本上保持了免費。為了保持免費，網(wǎng)絡(luò)媒體利用廣告創(chuàng)造收入。廣告的針對性越強，媒體收入就會越好。

雖然大多數(shù)網(wǎng)絡(luò)用戶不至于天真到認為互聯(lián)網(wǎng)跟蹤不存在，但很少有市場營銷圈外的人了解收集了多少數(shù)據(jù)以及如何處理這些數(shù)據(jù)。以2017年的Equifax數(shù)據(jù)泄露事件為例，該事件在未經(jīng)立法機構(gòu)明確同意的情況下收集了數(shù)百萬消費者的數(shù)據(jù)，招致立法機構(gòu)的嚴厲批評。像BlueKai一樣，Equifax依賴于消費者跳過冗長的隱私政策，這些政策規(guī)定網(wǎng)站如何跟蹤他們才是合法的。

無論如何，消費者別無選擇，只能接受這些條款。只能被跟蹤或選擇離開，這就是免費互聯(lián)網(wǎng)的兩難取舍。但收集數(shù)百萬人的網(wǎng)絡(luò)跟蹤數(shù)據(jù)是有風險的。

Cyphers說：“無論什么時候存在這樣的數(shù)據(jù)庫，數(shù)據(jù)都有可能最終落入壞人手中，并有可能傷害他人。”這些數(shù)據(jù)如果落入惡意用戶手中，可能會導致身份盜竊、網(wǎng)絡(luò)釣魚或跟蹤。他說：“這也成為了執(zhí)法部門和政府機構(gòu)一個重視的目標，他們希望充分利用甲骨文已經(jīng)完成的數(shù)據(jù)收集工作。”Cyphers表示，即使這些數(shù)據(jù)保持其原計劃的營銷用途，這些龐大的數(shù)據(jù)庫也能夠“為政治目的或輿情操控的廣告服務(wù)，并允許營銷人員根據(jù)特定的弱勢群體調(diào)整信息。”

“每個人都有不同的事情想保密，也有不同的人想保密，”Cyphers說。“當公司收集原始的網(wǎng)絡(luò)瀏覽或購買數(shù)據(jù)時，成千上萬關(guān)于真實人們生活的小細節(jié)會被一路挖掘出來。”他說，“這些小細節(jié)中的每一個都有可能使某人處于危險之中。”