全球数十亿条用户记录被泄露,姓名住址全曝光,Oracle或已引发今年最大的数据安全事件...
来源 | InfoQ
编译 | 核子可乐、Tina
Oracle 的广告技术部门,因服务器处于不安全且未设置密码的状态,导致数据库中全球数十亿人的记录被泄露。
Oracle 于 2014 年以超过 4 亿美元的价格收购了初创企业 BlueKai ,并将其产品添加到 Oracle 的数据云(ODC)和营销云(OMC)中。BlueKai 通过 cookie 和其他跟踪技术监视网络上的用户,并为第三方提供数据收集服务,同时维护着一个大型数据库。因为背后有 Oracle 的支撑,BlueKai 的发展相当迅速。据 Whotracks 网站估计,BlueKai 跟踪了所有 Web 流量的 1%以上。
但在相当长的一段时期内,保存这些数据的服务器压根没有设置密码,导致网络跟踪数据被全面泄露在公开互联网上。
其中的数十亿条记录,随时可供任何人翻阅查看。
曝光出来的这些记录,显示出极高的透明度,包含姓名、家庭住址、电子邮件和其他比如付款交易等个人信息,因此通过用户的“数字画像”可以长期追踪他的在线活动。
例如其中一条记录,可以具体到某德国男子(这里隐去真实姓名)曾在 4 月 19 号在电子竞技博彩网站上购买了 10 欧元的注码,还包含该男子的居住地址、电话号码与电子邮件地址。另一条记录显示,一位住在伊斯坦布尔的用户曾在一家家居用品商店在线购买了价值 899 美元的家具,内含买家的详细信息,包括真实姓名、电子邮件地址以及买家订单的网络链接等。
安全研究员 Anurag Sen 发现了该数据库,并向 Oracle 方面报告了自己的发现。随后 Oracle 将数据库进行了脱机处理。但不管怎么样,此次曝光数据库的庞大规模都使其成为今年发生的最大安全违规事件之一。
事件回顾
科技巨头 Oracle 是少数几家在互联网跟踪技术领域拥有强劲实力的硅谷企业之一。该公司斥资数十亿美元收购众多初创企业,并借此构建起全面的用户网络浏览数据视图。初创公司 BlueKai 于 2014 年以超过 4 亿美元的价码被 Oracle 收入囊中。
BlueKai 使用网站 cookies 及其他跟踪技术监视用户的网络动向,依靠从各种来源不停地收集数据以了解市场动态,并结合人们的利益诉求发布最精准的广告内容。
营销人员可以利用 Oracle 庞大的数据库,通过信用机构、分析企业以及其他消费者数据源(包括日均数十亿个数据点位置)获取信息,最终确定最符合受众口味的广告内容。此外,营销人员也可以上传经过整理的消费者个人数据,例如注册网站或订阅商业新闻时需要提交的个人信息。这部分数据看似并不敏感,但在彼此融合之后,却能够为个人用户及其设备创建出唯一“指纹”,借此跟踪对方在互联网上的浏览动向。
BlueKai 还能够将用户的移动网络浏览习惯与桌面行为联系起来,保证无论用户使用哪种设备,都可以通过互联网跟踪他们的活动。
BlueKai 收集到的内容越多,对用户喜好的推理就越准确,进而帮助广告商们更加有的放矢地向不同群体发送不同宣传内容。
但在相当长的一段时期内,保存这类数据的服务器压根没有设置密码,导致网络跟踪数据被全面泄露在公开互联网上。其中的数十亿条记录,随时可供任何人翻阅查看。
安全研究员 Anurag Sen 发现了该数据库,并以网络安全公司 Hudson Rock 首席执行官 Roi Carthy 为中间人向 Oracle 方面报告了自己的发现。
根据 Sen 提供的数据,可以从中找到用户姓名、家庭住址、电子邮件地址以及其他身份相关数据。数据中还包含用户的各类敏感网络浏览活动,例如网上购物及新闻退订等各类操作。
Oracle 公司发言人 Deborah Hellinger 指出,“甲骨文公司发现,Hudson Rock 公司 Roi Carthy 上报的部分 BlueKai 记录属于网络公开信息。虽然研究人员提供的初始信息不足以判断到底是哪些系统受到影响,但甲骨文在随后的调查中,发现确实有两家客户未能正确配置相关服务。甲骨文已经采取措施以避免此类问题再次发生。”
泄露的信息透明度极高
在幕后,BlueKai 在不断提取并匹配尽可能多的个人原始数据,并将其与个人资料加以匹配,据此持续丰富对个体的了解并跟踪其最新动态。
但最终,大量原始数据从暴露在外的数据库中泄露出来。
根据此次曝光的一条记录,我们发现某德国男子(这里隐去真实姓名)曾在 4 月 19 号在电子竞技博彩网站上购买了 10 欧元的注码。记录中还包含该男子的居住地址、电话号码与电子邮件地址。
再来看另一条记录,其中显示土耳其国内最大的投资控股公司之一使用 BlueKai 服务对其网站用户进行跟踪。记录显示,一位住在伊斯坦布尔的用户曾在一家家居用品商店中在线购买了价值 899 美元的家具。这类记录中包含了买家的详细信息,包括真实姓名、电子邮件地址以及买家订单的网络链接等等。
在另一条记录中,详细记录了某位用户如何取消新闻邮件订阅服务。记录显示,此人可能对特定型号的行车记录仪很感兴趣。根据用户代理信息,我们甚至可以发现他的 iPhone 系统版本已经陈旧,需要进行软件更新。
BlueKai 收集的数据越多,对个人用户的推断结论也就越准确,自然更有能力发布符合个人口味的广告来赚取利润。
据数据库发现者 Sen 介绍,泄露的数据库中包含为期数个月的信息,部分记录甚至可以追溯到 2019 年 8 月。
EFF 的 Cyphers 指出,“对人们网络浏览习惯的细化分析,可以揭示出对应用户的个人爱好、政治倾向、收入水平、健康状况、性取向以及赌博习惯等。随着我们网络生活的逐渐丰富,这类数据在日常生活中所占的比重也越来越大。”
监控无所不在
BlueKai 无处不在,真正意义上的无处不在。一项估算表明,BlueKai 跟踪的网络流量占全球总体流量中的 1% 以上——其日均数据收集量极为惊人,而且亚马逊、ESPN、福布斯、Glassdoor、Healthline、Levi’s、MSN.com、Rotten Tomatoes 以及纽约时报等全球顶尖网站都成为其监控对象。
但我们要关注的绝不只是 BlueKai。
2000 年后大数据营销企业蜂拥而起,类似的 DMP 数据管理平台在数字化转型过程中具有战略意义,因此相关的数据业务不断在扩大。
我们访问的几乎每一个网站,都或多或少包含有某种形式的隐性跟踪代码,用于在访客遍历互联网时实施监视。这些隐性跟踪器会将网络浏览数据发送至云端一套巨大的数据库内,也正是这些数据背后带来的经济价值让整个互联网得以长期免费运行。尽管大多数网络用户早已意识到这种无处不在的跟踪,但营销行业之外的人们恐怕仍难以想象这其中到底涉及多少数据、相关机构又在怎样处理数据。
以 2017 年引起轩然大波的 Equifax 数据泄露案为例,Equifax 在未经许可的情况下从数百万消费者处收集数据,受到立法者们的严厉抨击。与 BlueKai 一样,Equifax 公司把这些跟踪行为都写在了枯燥冗长的隐私政策里头,但普通消费者谁又会去认真阅读呢?而且就算认真看过,消费者除了被动接受之外也别无选择。要么被跟踪,要么放弃使用。想要免费上网,就必须付出点代价。
只要这样的数据库仍然存在,数据就终有一天会落入错误的人手中,并引发灾难性后果。每个人都应该拥有自己的秘密,也都拥有不被某些人群窥探的权利。当企业收集原始网页浏览或购买数据时,无论如何脱敏,其中都必然包含无穷无尽的真实生活细节。
正是这些小小细节,或许会让每一个人身陷潜在的风险当中。
参考阅读:
https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/
https://www.forbes.com/sites/jessedamiani/2020/06/19/oracles-bluekai-spilled-billions-of-records-of-web-tracking-data/#5859450c2c47
https://blogs.gartner.com/martin-kihn/from-bluekai-to-ai-the-adventures-of-omar-tawakol/
有道无术,术可成;有术无道,止于术
欢迎大家关注Java之道公众号
好文章,我在看❤️
全球数十亿条用户记录被泄露,姓名住址全曝光,Oracle或已引发今年最大的数据安全事件...相关推荐
- Facebook 实时聊天架构日均处理数十亿条消息!
摘要:Facebook 的实时聊天架构每日可处理数十亿条消息. 作者 | shivang 译者 | 弯月,责编 | 郭芮 出品 | CSDN(ID:CSDNnews) 以下为译文: 在这篇文章中,我将 ...
- Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周三,以色列网络安全公司 JSOF 警告称,在20世纪90年代设计的一个小型库 Treck TCP/IP 中发现了19个漏洞,可导致全 ...
- 数据库配置不当,8.8亿条医疗记录遭泄露
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现了一个不安全的数据库,超过8.86亿条的病患记录被暴露在网上,尽管目前证实它们是虚假数据. 这个未受密码保护的数据库是由 Jerem ...
- 腾讯数十亿广告的基础是精准实时推荐
专访腾讯数据平台部总经理蒋杰:腾讯数十亿广告的基础是精准实时推荐 虎嗅注:本文是福布斯中文网"数据大玩家"专栏中的一篇文章.接受提问的蒋杰先生,是腾讯数据平台部总经理,在加入 ...
- mysql 万亿数据_sql-server – 哪个数据库可以处理数十亿/数万亿条记录的存储?...
我们正在研究开发一种捕获和分析netflow数据的工具,我们收集了大量的数据.每天我们捕获大约14亿个流记录,这些记录在json格式中看起来像这样: { "tcp_flags": ...
- 全球4亿条用户电话号码曝光 Facebook再曝巨大安全漏洞
9月5日据外媒消息报道,社交大佬平台Facebook存在严重的安全漏洞,一个存储了数以亿条与Facebook帐户关联的电话号码数据库在网上泄露,每条记录都包含一个用户的Facebook ID和连接到他 ...
- mysql十亿_Mysql:表中有数十亿条记录
我需要在Mysql表中保存约78亿条记录.该表既读写又密集.我必须每小时至少保留20亿记录的插入率.而在桌子上搜索不应超过10秒钟. 我们有一个UI,用户可以根据不同的colums属性进行搜索. 大多 ...
- mysql做十亿条数据查询_数据库优化:mysql数据库单机数十亿数据查询设计
很久没写文章,是不是想着写点什么东西,分享下我的数据库设计思路,主要是针对单机数十亿及以上数据查询优化技巧. 如果只是简单的查询,没有频繁的写入操作,对查询速度不要求在毫秒级别,就不需要什么大型的数据 ...
- 网约车中场战事:曹操出行融资数十亿,谁在觊觎龙头位置?
你去其他网约车平台上薅了羊毛吗? 近段时间,网约车平台们新一轮补贴大战又开始初露矛头,各大平台们纷纷送出大额优惠券抢用户,打车只要几块钱成了宣传噱头. 补贴的本质就是烧钱买量,但是用户忠诚度并不高,薅 ...
最新文章
- 不支持打开非业务域名htts:....请重新配置
- 真我新格调 勇敢使梦想×××
- Oracle SQL Perfomance Tuning
- 「后端小伙伴来学前端了」关于Vue中的自定义事件,组件绑定自定义事件实现通信
- 应该允许公司报复黑客吗?
- 新型计算机作文1000,人类:感性的计算机作文1000字
- GoogLeNet——CNN经典网络模型详解(pytorch实现)
- 卷积神经网络CNN如何训练?
- jQuery学习之一---选择器
- python安装idle_怎么在windows下的Python开发工具IDLE里安装其他模块
- python split拆分字符串_python实现字符串完美拆分split()的方法
- 第三方支付易宝支付的具体实现
- C++中i++和++i的区别
- 神经网络编程的34个案例,神经网络编程是什么
- Node.js meitulu图片批量下载爬虫 1.05版(Final最终版)
- 程序设计框架图和框架加载流程
- OBCA题库(最新版)
- 如何配置本地yum源
- linux上安装java失败,Linux下安装jdk失败怎么办
- 《深入浅出图神经网络》读书笔记 1-2
热门文章
- 最小二乘法幂函数C语言,跪求最小二乘法幂函数C 语言程序
- unity打包android 乱码,Unity3d发布IOS9应用时出现中文乱码的解决方法
- shell脚本拼接中间带空格的两个变量成一个变量
- C语言去掉字符串的换行符
- 一个测试工程师面试官的真实分享!个人超赞同!
- 通用寄存器:地址指针寄存器,数据寄存器,变址寄存器
- 在Linux下使用iconv转换字符串编码
- python 学习笔记 - for循环: 字典遍历, 分别打印key, value, key:value
- 语法分析——自上而下
- 缩点【洛谷P1262】 间谍网络