分析甲骨文旗下的BlueKai數(shù)據(jù)業(yè)務(wù)的近期數(shù)據(jù)泄露風(fēng)險(xiǎn)事件

RTBChina
TechCrunch
雖然大多數(shù)網(wǎng)絡(luò)用戶不至于天真到認(rèn)為互聯(lián)網(wǎng)跟蹤不存在,但很少有市場營銷圈外的人了解收集了多少數(shù)據(jù)以及如何處理這些數(shù)據(jù)。

當(dāng)你在使用瀏覽器、各種App或時(shí)候,是否思考過這樣一個(gè)問題:為什么剛剛想到什么,在線廣告很快就有針對性地把相關(guān)產(chǎn)品推送到的瀏覽器或者App信息信息流里了?這并不是什么大陰謀,只是現(xiàn)在的廣告科技精準(zhǔn)到令人發(fā)怵。而精準(zhǔn)的背后,則是對用戶更詳細(xì)和重要的個(gè)人信息進(jìn)行記錄搜集。

科技巨頭甲骨文公司是硅谷少數(shù)幾家在互聯(lián)網(wǎng)跟蹤技術(shù)方面能力出眾的公司之一。該公司近年來花費(fèi)了數(shù)十億美元投資并購初創(chuàng)企業(yè),以建立自己的用戶網(wǎng)絡(luò)瀏覽數(shù)據(jù)全景畫像。其中一家初創(chuàng)公司叫BlueKai,甲骨文2014年以4億多美元代價(jià)將其收購,這家公司在市場營銷圈外鮮為人知,但它可能是聯(lián)邦政府以外聚集了最大規(guī)模的的網(wǎng)絡(luò)跟蹤數(shù)據(jù)的企業(yè)之一。

BlueKai使用網(wǎng)站cookies和其它跟蹤技術(shù)來跟蹤你的網(wǎng)絡(luò)。通過了解你訪問的網(wǎng)站和你打開的電子郵件,營銷人員可以利用大量的跟蹤數(shù)據(jù)盡可能推斷出你的情況——你的收入、教育程度、政治觀點(diǎn)和興趣等等,從而根據(jù)你的數(shù)據(jù)畫像投放符合你口味的廣告。如果你點(diǎn)擊,廣告媒體就會(huì)賺錢。

但據(jù)知情媒體披露,有一段時(shí)間,由于其一臺(tái)服務(wù)器沒有密碼,這個(gè)安全漏洞使網(wǎng)絡(luò)跟蹤數(shù)據(jù)泄露到開放的互聯(lián)網(wǎng)上,數(shù)十億條記錄被暴露,可供任何人查找。安全研究員Anurag Sen發(fā)現(xiàn)了這個(gè)數(shù)據(jù)庫,并通過一個(gè)中介人——Roi Carthy,網(wǎng)絡(luò)安全公司Hudson Rock的首席執(zhí)行官和前TechCrunch記者,向甲骨文報(bào)告了他的發(fā)現(xiàn)。TechCrunch查看了Sen共享的數(shù)據(jù),在數(shù)據(jù)庫中找到了姓名、家庭地址、電子郵件地址和其它可識(shí)別的數(shù)據(jù)。該數(shù)據(jù)還顯示了敏感用戶的網(wǎng)絡(luò)瀏覽活動(dòng)——從購買到退訂郵件列表。

電子前沿基金會(huì)(Electronic Frontier Foundation)的技術(shù)人員Bennett Cyphers對TechCrunch表示:“我們真的不知道這些數(shù)據(jù)會(huì)有多大的暴露。”

甲骨文發(fā)言人Deborah Hellinger說:“甲骨文知道Hudson Rock的Roi Carthy所做的報(bào)告,該報(bào)告與某些可能在互聯(lián)網(wǎng)上曝光的BlueKai記錄有關(guān)。”“雖然研究人員提供的初始信息不足以識(shí)別受影響的系統(tǒng),但甲骨文的調(diào)查隨后確定,有兩家公司沒有正確配置其服務(wù)。甲骨文已采取額外措施,以避免這一問題再次發(fā)生。”

甲骨文并沒有說明這些額外補(bǔ)救措施是什么,安全研究員Anurag Sen認(rèn)為,這個(gè)公開數(shù)據(jù)庫的龐大規(guī)??赡苁墙衲曜畲蟮臄?shù)據(jù)安全漏洞之一。

數(shù)據(jù)的大熔爐

BlueKai依靠從各種來源收集永無止境的數(shù)據(jù)來了解互聯(lián)網(wǎng)用戶畫像和意圖,從而向人們提供最精確的廣告。

營銷人員可以利用甲骨文龐大的數(shù)據(jù)庫,包括信貸機(jī)構(gòu)、分析公司和其他消費(fèi)者數(shù)據(jù)源,包括每天數(shù)十億個(gè)地理位置數(shù)據(jù)點(diǎn)中提取信息來定位廣告,營銷人員也可以上傳直接從消費(fèi)者那里獲得的數(shù)據(jù),例如你在網(wǎng)站上注冊帳戶時(shí)所交出的信息。

同時(shí),BlueKai還使用了更多隱蔽的策略,例如在許多網(wǎng)站在頁面嵌入不可見的像素代碼,以收集有關(guān)網(wǎng)頁訪客的信息、硬件、操作系統(tǒng)、瀏覽器以及有關(guān)網(wǎng)絡(luò)連接的更多信息。這種數(shù)據(jù)被稱為網(wǎng)絡(luò)瀏覽器的“用戶代理”,單方數(shù)據(jù)似乎并不敏感,但當(dāng)融合在一起時(shí),它可以為一個(gè)消費(fèi)者的設(shè)備創(chuàng)建一個(gè)獨(dú)特的“指紋”,在他們?yōu)g覽互聯(lián)網(wǎng)時(shí)可以用來跟蹤這個(gè)消費(fèi)者。

BlueKai還有能力實(shí)現(xiàn)跨屏分析,可以將你的移動(dòng)網(wǎng)絡(luò)瀏覽習(xí)慣與臺(tái)式電腦活動(dòng)聯(lián)系起來,讓它在互聯(lián)網(wǎng)上跟蹤你,無論你使用哪種設(shè)備。

圖:基本的用戶數(shù)據(jù)搜集流程

假設(shè)某位營銷人員試圖推廣一種新車型。就BlueKai而言,它已經(jīng)具有“汽車愛好者”類別,以及許多其他更細(xì)分的子類別,營銷人員可以使用它們來定位廣告,訪問過汽車制造商網(wǎng)站或被BlueKai跟蹤的任何人都可能被歸類為“汽車愛好者”,隨著時(shí)間推移,該個(gè)人資料將被分類到不同的類別中,大數(shù)據(jù)分析會(huì)盡可能多地了解你,從而可以通過精準(zhǔn)廣告來不斷影響你。

在保障用戶私人數(shù)據(jù)的情況下精準(zhǔn)推送廣告,現(xiàn)在人們也是可接受的。在幕后,BlueKai不斷根據(jù)每個(gè)人的個(gè)人資料攝取和匹配盡可能多的原始個(gè)人數(shù)據(jù),并不斷豐富該個(gè)人資料,以確保其更新和相關(guān)。

雖然這項(xiàng)技術(shù)還遠(yuǎn)非完美。今年早些時(shí)候,《哈佛商業(yè)評論》發(fā)現(xiàn),甲骨文等數(shù)據(jù)經(jīng)紀(jì)商所收集的信息質(zhì)量可能存在很大差異。但事實(shí)證明,其中一些平臺(tái)的準(zhǔn)確性驚人。普林斯頓大學(xué)科學(xué)教授Jonathan Mayer告訴TechCrunch,BlueKai是關(guān)聯(lián)數(shù)據(jù)的領(lǐng)先系統(tǒng)之一。“如果你讓瀏覽器同時(shí)發(fā)送一個(gè)電子郵件地址和一個(gè)跟蹤cookie,這就是你需要建立的連接,”他說。最終目標(biāo):BlueKai收集的信息越多,它就越能推斷出你的情況,從而更容易吸引你點(diǎn)擊廣告創(chuàng)造收益。

但一位營銷專業(yè)人士告訴TechCrunch,營銷人員并不能登錄BlueKai,然后從其服務(wù)器下載大量個(gè)人信息。數(shù)據(jù)是經(jīng)過脫敏和加密的,營銷人員永遠(yuǎn)看不到姓名、地址或任何其它個(gè)人數(shù)據(jù)。正如Mayer解釋的那樣:BlueKai收集個(gè)人數(shù)據(jù);它不與營銷人員共享。

細(xì)思恐極的泄露

在幕后,BlueKai不斷地獲取和匹配盡可能多的原始個(gè)人數(shù)據(jù),并根據(jù)每個(gè)人的個(gè)人資料進(jìn)行匹配,不斷豐富個(gè)人資料數(shù)據(jù),以確保其是最新的和相關(guān)的。

但正是這原始數(shù)據(jù)從數(shù)據(jù)庫中被泄露。

TechCrunch發(fā)現(xiàn)了包含私人購買細(xì)節(jié)的記錄。其中一份記錄詳細(xì)記錄了4月19日,一名德國男子(他的名字被我們隱掉了),用一張預(yù)付借記卡在一家電子競技博彩網(wǎng)站下注10歐元。記錄中還包括這名男子的地址、電話號(hào)碼和電子郵件地址。

另一項(xiàng)記錄顯示,土耳其最大的投資控股公司之一是如何利用BlueKai在其網(wǎng)站上跟蹤用戶的。這份記錄詳細(xì)記錄了一位住在伊斯坦布爾的人是如何從一間家居用品商店在線訂購價(jià)值899美元的家具的。我們得以知道這些,是因?yàn)樵撚涗洶怂屑?xì)節(jié),包括買方的姓名、電子郵件地址和買方訂單的直接網(wǎng)址。

我們還看到了一條記錄,詳細(xì)記錄了一個(gè)訪客是如何從一個(gè)消費(fèi)電子產(chǎn)品的電子郵件推廣中退訂的,郵件是發(fā)送到他的iCloud地址。記錄顯示,此人可能對某一特定型號(hào)的汽車行車記錄儀感興趣。我們甚至可以根據(jù)他的用戶代理(UA)判斷他的iPhone已經(jīng)過時(shí),需要軟件更新。

據(jù)發(fā)現(xiàn)數(shù)據(jù)庫的Sen說,這些數(shù)據(jù)可以追溯到幾個(gè)月前。他說,一些日志可以追溯到2019年8月。

EFF的Cyphers說:“對人們上網(wǎng)習(xí)慣的細(xì)顆粒數(shù)據(jù)記錄可以揭示出他們的愛好、政治傾向、收入等級、健康狀況、性取向,甚至賭博習(xí)慣。”“隨著我們越來越多地生活于網(wǎng)上,這類數(shù)據(jù)也收集到我們越來越多的消費(fèi)時(shí)間。”

甲骨文拒絕透露是否將安全漏洞告知了那些數(shù)據(jù)被曝光的人。該公司也拒絕透露是否已就此事向美國或國際監(jiān)管機(jī)構(gòu)發(fā)出警告。根據(jù)加州法律,甲骨文等公司必須公開披露數(shù)據(jù)安全事件,但甲骨文迄今尚未宣布該泄露事件。當(dāng)記者聯(lián)系到加州總檢察長辦公室的一位發(fā)言人時(shí),他拒絕透露甲骨文是否已將此事告知該辦公室。根據(jù)歐洲的GDPR規(guī)則,公司可能會(huì)因藐視數(shù)據(jù)保護(hù)和披露規(guī)則而面臨高達(dá)其全球年?duì)I業(yè)額4%的罰款。

無處不在的追蹤代碼

BlueKai無處不在——即使你看不見它的追蹤技術(shù)。

據(jù)業(yè)內(nèi)專家估計(jì),BlueKai追蹤了超過1%的網(wǎng)絡(luò)流量,這是一個(gè)海量的每日數(shù)據(jù)收集規(guī)模,并包含了追蹤一些世界上最大的網(wǎng)站的訪客:亞馬遜、ESPN、福布斯、Glassdoor、Healthline、Levi’s,MSN.com,RottenTomatoes,還有紐約時(shí)報(bào)。甚至本篇文章(TechCrunch.com)也有一個(gè)BlueKai跟蹤器,因?yàn)槲覀兊哪腹綱erizon Media是BlueKai的合作伙伴。

BlueKai并不是唯一進(jìn)行這種操作的公司。幾乎你所訪問的每一個(gè)網(wǎng)站都包含某種形式的不可見跟蹤代碼,當(dāng)你瀏覽互聯(lián)網(wǎng)時(shí),這些技術(shù)會(huì)對你進(jìn)行分析。盡管隱形追蹤器正在把你的網(wǎng)絡(luò)瀏覽數(shù)據(jù)輸入云中的一個(gè)巨大的數(shù)據(jù)庫,但正是這些數(shù)據(jù)讓互聯(lián)網(wǎng)內(nèi)容和服務(wù)基本上保持了免費(fèi)。為了保持免費(fèi),網(wǎng)絡(luò)媒體利用廣告創(chuàng)造收入。廣告的針對性越強(qiáng),媒體收入就會(huì)越好。

雖然大多數(shù)網(wǎng)絡(luò)用戶不至于天真到認(rèn)為互聯(lián)網(wǎng)跟蹤不存在,但很少有市場營銷圈外的人了解收集了多少數(shù)據(jù)以及如何處理這些數(shù)據(jù)。以2017年的Equifax數(shù)據(jù)泄露事件為例,該事件在未經(jīng)立法機(jī)構(gòu)明確同意的情況下收集了數(shù)百萬消費(fèi)者的數(shù)據(jù),招致立法機(jī)構(gòu)的嚴(yán)厲批評。像BlueKai一樣,Equifax依賴于消費(fèi)者跳過冗長的隱私政策,這些政策規(guī)定網(wǎng)站如何跟蹤他們才是合法的。

無論如何,消費(fèi)者別無選擇,只能接受這些條款。只能被跟蹤或選擇離開,這就是免費(fèi)互聯(lián)網(wǎng)的兩難取舍。但收集數(shù)百萬人的網(wǎng)絡(luò)跟蹤數(shù)據(jù)是有風(fēng)險(xiǎn)的。

Cyphers說:“無論什么時(shí)候存在這樣的數(shù)據(jù)庫,數(shù)據(jù)都有可能最終落入壞人手中,并有可能傷害他人。”這些數(shù)據(jù)如果落入惡意用戶手中,可能會(huì)導(dǎo)致身份盜竊、網(wǎng)絡(luò)釣魚或跟蹤。他說:“這也成為了執(zhí)法部門和政府機(jī)構(gòu)一個(gè)重視的目標(biāo),他們希望充分利用甲骨文已經(jīng)完成的數(shù)據(jù)收集工作。”Cyphers表示,即使這些數(shù)據(jù)保持其原計(jì)劃的營銷用途,這些龐大的數(shù)據(jù)庫也能夠“為政治目的或輿情操控的廣告服務(wù),并允許營銷人員根據(jù)特定的弱勢群體調(diào)整信息。”

“每個(gè)人都有不同的事情想保密,也有不同的人想保密,”Cyphers說。“當(dāng)公司收集原始的網(wǎng)絡(luò)瀏覽或購買數(shù)據(jù)時(shí),成千上萬關(guān)于真實(shí)人們生活的小細(xì)節(jié)會(huì)被一路挖掘出來。”他說,“這些小細(xì)節(jié)中的每一個(gè)都有可能使某人處于危險(xiǎn)之中。”

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論