信息化觀察網(wǎng)

Oracle的廣告技術(shù)部門(mén)，因服務(wù)器處于不安全且未設(shè)置密碼的狀態(tài)，導(dǎo)致數(shù)據(jù)庫(kù)中全球數(shù)十億人的記錄被泄露。

Oracle于2014年以超過(guò)4億美元的價(jià)格收購(gòu)了初創(chuàng)企業(yè)BlueKai，并將其產(chǎn)品添加到Oracle的數(shù)據(jù)云（ODC）和營(yíng)銷(xiāo)云（OMC）中。BlueKai通過(guò)cookie和其他跟蹤技術(shù)監(jiān)視網(wǎng)絡(luò)上的用戶，并為第三方提供數(shù)據(jù)收集服務(wù)，同時(shí)維護(hù)著一個(gè)大型數(shù)據(jù)庫(kù)。因?yàn)楸澈笥蠴racle的支撐，BlueKai的發(fā)展相當(dāng)迅速。據(jù)Whotracks網(wǎng)站估計(jì)，BlueKai跟蹤了所有Web流量的1％以上。

但在相當(dāng)長(zhǎng)的一段時(shí)期內(nèi)，保存這些數(shù)據(jù)的服務(wù)器壓根沒(méi)有設(shè)置密碼，導(dǎo)致網(wǎng)絡(luò)跟蹤數(shù)據(jù)被全面泄露在公開(kāi)互聯(lián)網(wǎng)上。

其中的數(shù)十億條記錄，隨時(shí)可供任何人翻閱查看。

曝光出來(lái)的這些記錄，顯示出極高的透明度，包含姓名、家庭住址、電子郵件和其他比如付款交易等個(gè)人信息，因此通過(guò)用戶的“數(shù)字畫(huà)像”可以長(zhǎng)期追蹤他的在線活動(dòng)。

例如其中一條記錄，可以具體到某德國(guó)男子（這里隱去真實(shí)姓名）曾在4月19號(hào)在電子競(jìng)技博彩網(wǎng)站上購(gòu)買(mǎi)了10歐元的注碼，還包含該男子的居住地址、電話號(hào)碼與電子郵件地址。另一條記錄顯示，一位住在伊斯坦布爾的用戶曾在一家家居用品商店在線購(gòu)買(mǎi)了價(jià)值899美元的家具，內(nèi)含買(mǎi)家的詳細(xì)信息，包括真實(shí)姓名、電子郵件地址以及買(mǎi)家訂單的網(wǎng)絡(luò)鏈接等。

安全研究員Anurag Sen發(fā)現(xiàn)了該數(shù)據(jù)庫(kù)，并向Oracle方面報(bào)告了自己的發(fā)現(xiàn)。隨后Oracle將數(shù)據(jù)庫(kù)進(jìn)行了脫機(jī)處理。但不管怎么樣，此次曝光數(shù)據(jù)庫(kù)的龐大規(guī)模都使其成為今年發(fā)生的最大安全違規(guī)事件之一。

1、事件回顧

科技巨頭Oracle是少數(shù)幾家在互聯(lián)網(wǎng)跟蹤技術(shù)領(lǐng)域擁有強(qiáng)勁實(shí)力的硅谷企業(yè)之一。該公司斥資數(shù)十億美元收購(gòu)眾多初創(chuàng)企業(yè)，并借此構(gòu)建起全面的用戶網(wǎng)絡(luò)瀏覽數(shù)據(jù)視圖。初創(chuàng)公司BlueKai于2014年以超過(guò)4億美元的價(jià)碼被Oracle收入囊中。

BlueKai使用網(wǎng)站cookies及其他跟蹤技術(shù)監(jiān)視用戶的網(wǎng)絡(luò)動(dòng)向，依靠從各種來(lái)源不停地收集數(shù)據(jù)以了解市場(chǎng)動(dòng)態(tài)，并結(jié)合人們的利益訴求發(fā)布最精準(zhǔn)的廣告內(nèi)容。

營(yíng)銷(xiāo)人員可以利用Oracle龐大的數(shù)據(jù)庫(kù)，通過(guò)信用機(jī)構(gòu)、分析企業(yè)以及其他消費(fèi)者數(shù)據(jù)源（包括日均數(shù)十億個(gè)數(shù)據(jù)點(diǎn)位置）獲取信息，最終確定最符合受眾口味的廣告內(nèi)容。此外，營(yíng)銷(xiāo)人員也可以上傳經(jīng)過(guò)整理的消費(fèi)者個(gè)人數(shù)據(jù)，例如注冊(cè)網(wǎng)站或訂閱商業(yè)新聞時(shí)需要提交的個(gè)人信息。

這部分?jǐn)?shù)據(jù)看似并不敏感，但在彼此融合之后，卻能夠?yàn)閭€(gè)人用戶及其設(shè)備創(chuàng)建出唯一“指紋”，借此跟蹤對(duì)方在互聯(lián)網(wǎng)上的瀏覽動(dòng)向。

BlueKai還能夠?qū)⒂脩舻囊苿?dòng)網(wǎng)絡(luò)瀏覽習(xí)慣與桌面行為聯(lián)系起來(lái)，保證無(wú)論用戶使用哪種設(shè)備，都可以通過(guò)互聯(lián)網(wǎng)跟蹤他們的活動(dòng)。

BlueKai收集到的內(nèi)容越多，對(duì)用戶喜好的推理就越準(zhǔn)確，進(jìn)而幫助廣告商們更加有的放矢地向不同群體發(fā)送不同宣傳內(nèi)容。

但在相當(dāng)長(zhǎng)的一段時(shí)期內(nèi)，保存這類(lèi)數(shù)據(jù)的服務(wù)器壓根沒(méi)有設(shè)置密碼，導(dǎo)致網(wǎng)絡(luò)跟蹤數(shù)據(jù)被全面泄露在公開(kāi)互聯(lián)網(wǎng)上。其中的數(shù)十億條記錄，隨時(shí)可供任何人翻閱查看。

安全研究員Anurag Sen發(fā)現(xiàn)了該數(shù)據(jù)庫(kù)，并以網(wǎng)絡(luò)安全公司Hudson Rock首席執(zhí)行官Roi Carthy為中間人向Oracle方面報(bào)告了自己的發(fā)現(xiàn)。

根據(jù)Sen提供的數(shù)據(jù)，可以從中找到用戶姓名、家庭住址、電子郵件地址以及其他身份相關(guān)數(shù)據(jù)。數(shù)據(jù)中還包含用戶的各類(lèi)敏感網(wǎng)絡(luò)瀏覽活動(dòng)，例如網(wǎng)上購(gòu)物及新聞退訂等各類(lèi)操作。

Oracle公司發(fā)言人Deborah Hellinger指出，“甲骨文公司發(fā)現(xiàn)，Hudson Rock公司Roi Carthy上報(bào)的部分BlueKai記錄屬于網(wǎng)絡(luò)公開(kāi)信息。雖然研究人員提供的初始信息不足以判斷到底是哪些系統(tǒng)受到影響，但甲骨文在隨后的調(diào)查中，發(fā)現(xiàn)確實(shí)有兩家客戶未能正確配置相關(guān)服務(wù)。甲骨文已經(jīng)采取措施以避免此類(lèi)問(wèn)題再次發(fā)生。”

2、泄露的信息透明度極高

在幕后，BlueKai在不斷提取并匹配盡可能多的個(gè)人原始數(shù)據(jù)，并將其與個(gè)人資料加以匹配，據(jù)此持續(xù)豐富對(duì)個(gè)體的了解并跟蹤其最新動(dòng)態(tài)。

但最終，大量原始數(shù)據(jù)從暴露在外的數(shù)據(jù)庫(kù)中泄露出來(lái)。

根據(jù)此次曝光的一條記錄，我們發(fā)現(xiàn)某德國(guó)男子（這里隱去真實(shí)姓名）曾在4月19號(hào)在電子競(jìng)技博彩網(wǎng)站上購(gòu)買(mǎi)了10歐元的注碼。記錄中還包含該男子的居住地址、電話號(hào)碼與電子郵件地址。

再來(lái)看另一條記錄，其中顯示土耳其國(guó)內(nèi)最大的投資控股公司之一使用BlueKai服務(wù)對(duì)其網(wǎng)站用戶進(jìn)行跟蹤。記錄顯示，一位住在伊斯坦布爾的用戶曾在一家家居用品商店中在線購(gòu)買(mǎi)了價(jià)值899美元的家具。這類(lèi)記錄中包含了買(mǎi)家的詳細(xì)信息，包括真實(shí)姓名、電子郵件地址以及買(mǎi)家訂單的網(wǎng)絡(luò)鏈接等等。

在另一條記錄中，詳細(xì)記錄了某位用戶如何取消新聞郵件訂閱服務(wù)。記錄顯示，此人可能對(duì)特定型號(hào)的行車(chē)記錄儀很感興趣。根據(jù)用戶代理信息，我們甚至可以發(fā)現(xiàn)他的iPhone系統(tǒng)版本已經(jīng)陳舊，需要進(jìn)行軟件更新。

BlueKai收集的數(shù)據(jù)越多，對(duì)個(gè)人用戶的推斷結(jié)論也就越準(zhǔn)確，自然更有能力發(fā)布符合個(gè)人口味的廣告來(lái)賺取利潤(rùn)。

據(jù)數(shù)據(jù)庫(kù)發(fā)現(xiàn)者Sen介紹，泄露的數(shù)據(jù)庫(kù)中包含為期數(shù)個(gè)月的信息，部分記錄甚至可以追溯到2019年8月。

EFF的Cyphers指出，“對(duì)人們網(wǎng)絡(luò)瀏覽習(xí)慣的細(xì)化分析，可以揭示出對(duì)應(yīng)用戶的個(gè)人愛(ài)好、政治傾向、收入水平、健康狀況、性取向以及賭博習(xí)慣等。隨著我們網(wǎng)絡(luò)生活的逐漸豐富，這類(lèi)數(shù)據(jù)在日常生活中所占的比重也越來(lái)越大。”

3、監(jiān)控?zé)o所不在

BlueKai無(wú)處不在，真正意義上的無(wú)處不在。一項(xiàng)估算表明，BlueKai跟蹤的網(wǎng)絡(luò)流量占全球總體流量中的1%以上——其日均數(shù)據(jù)收集量極為驚人，而且亞馬遜、ESPN、福布斯、Glassdoor、Healthline、Levi’s、MSN.com、Rotten Tomatoes以及紐約時(shí)報(bào)等全球頂尖網(wǎng)站都成為其監(jiān)控對(duì)象。

但我們要關(guān)注的絕不只是BlueKai。

2000年后大數(shù)據(jù)營(yíng)銷(xiāo)企業(yè)蜂擁而起，類(lèi)似的DMP數(shù)據(jù)管理平臺(tái)在數(shù)字化轉(zhuǎn)型過(guò)程中具有戰(zhàn)略意義，因此相關(guān)的數(shù)據(jù)業(yè)務(wù)不斷在擴(kuò)大。

我們?cè)L問(wèn)的幾乎每一個(gè)網(wǎng)站，都或多或少包含有某種形式的隱性跟蹤代碼，用于在訪客遍歷互聯(lián)網(wǎng)時(shí)實(shí)施監(jiān)視。這些隱性跟蹤器會(huì)將網(wǎng)絡(luò)瀏覽數(shù)據(jù)發(fā)送至云端一套巨大的數(shù)據(jù)庫(kù)內(nèi)，也正是這些數(shù)據(jù)背后帶來(lái)的經(jīng)濟(jì)價(jià)值讓整個(gè)互聯(lián)網(wǎng)得以長(zhǎng)期免費(fèi)運(yùn)行。盡管大多數(shù)網(wǎng)絡(luò)用戶早已意識(shí)到這種無(wú)處不在的跟蹤，但營(yíng)銷(xiāo)行業(yè)之外的人們恐怕仍難以想象這其中到底涉及多少數(shù)據(jù)、相關(guān)機(jī)構(gòu)又在怎樣處理數(shù)據(jù)。

以2017年引起軒然大波的Equifax數(shù)據(jù)泄露案為例，Equifax在未經(jīng)許可的情況下從數(shù)百萬(wàn)消費(fèi)者處收集數(shù)據(jù)，受到立法者們的嚴(yán)厲抨擊。與BlueKai一樣，Equifax公司把這些跟蹤行為都寫(xiě)在了枯燥冗長(zhǎng)的隱私政策里頭，但普通消費(fèi)者誰(shuí)又會(huì)去認(rèn)真閱讀呢？而且就算認(rèn)真看過(guò)，消費(fèi)者除了被動(dòng)接受之外也別無(wú)選擇。要么被跟蹤，要么放棄使用。想要免費(fèi)上網(wǎng)，就必須付出點(diǎn)代價(jià)。

只要這樣的數(shù)據(jù)庫(kù)仍然存在，數(shù)據(jù)就終有一天會(huì)落入錯(cuò)誤的人手中，并引發(fā)災(zāi)難性后果。每個(gè)人都應(yīng)該擁有自己的秘密，也都擁有不被某些人群窺探的權(quán)利。當(dāng)企業(yè)收集原始網(wǎng)頁(yè)瀏覽或購(gòu)買(mǎi)數(shù)據(jù)時(shí)，無(wú)論如何脫敏，其中都必然包含無(wú)窮無(wú)盡的真實(shí)生活細(xì)節(jié)。

正是這些小小細(xì)節(jié)，或許會(huì)讓每一個(gè)人身陷潛在的風(fēng)險(xiǎn)當(dāng)中。