[[331586]]

Oracle 的廣告技術(shù)部門，因服務(wù)器處于不安全且未設(shè)置密碼的狀態(tài)，導(dǎo)致數(shù)據(jù)庫中全球數(shù)十億人的記錄被泄露。

Oracle 于 2014 年以超過 4 億美元的價格收購了初創(chuàng)企業(yè) BlueKai ，并將其產(chǎn)品添加到 Oracle 的數(shù)據(jù)云（ODC）和營銷云（OMC）中。BlueKai 通過 cookie 和其他跟蹤技術(shù)監(jiān)視網(wǎng)絡(luò)上的用戶，并為第三方提供數(shù)據(jù)收集服務(wù)，同時維護著一個大型數(shù)據(jù)庫。因為背后有 Oracle 的支撐，BlueKai 的發(fā)展相當(dāng)迅速。據(jù) Whotracks 網(wǎng)站估計，BlueKai 跟蹤了所有 Web 流量的 1％以上。

但在相當(dāng)長的一段時期內(nèi)，保存這些數(shù)據(jù)的服務(wù)器壓根沒有設(shè)置密碼，導(dǎo)致網(wǎng)絡(luò)跟蹤數(shù)據(jù)被全面泄露在公開互聯(lián)網(wǎng)上。

其中的數(shù)十億條記錄，隨時可供任何人翻閱查看。

曝光出來的這些記錄，顯示出極高的透明度，包含姓名、家庭住址、電子郵件和其他比如付款交易等個人信息，因此通過用戶的“數(shù)字畫像”可以長期追蹤他的在線活動。

例如其中一條記錄，可以具體到某德國男子（這里隱去真實姓名）曾在 4 月 19 號在電子競技博彩網(wǎng)站上購買了 10 歐元的注碼，還包含該男子的居住地址、電話號碼與電子郵件地址。另一條記錄顯示，一位住在伊斯坦布爾的用戶曾在一家家居用品商店在線購買了價值 899 美元的家具，內(nèi)含買家的詳細信息，包括真實姓名、電子郵件地址以及買家訂單的網(wǎng)絡(luò)鏈接等。

安全研究員 Anurag Sen 發(fā)現(xiàn)了該數(shù)據(jù)庫，并向 Oracle 方面報告了自己的發(fā)現(xiàn)。隨后 Oracle 將數(shù)據(jù)庫進行了脫機處理。但不管怎么樣，此次曝光數(shù)據(jù)庫的龐大規(guī)模都使其成為今年發(fā)生的最大安全違規(guī)事件之一。

1. 事件回顧

科技巨頭 Oracle 是少數(shù)幾家在互聯(lián)網(wǎng)跟蹤技術(shù)領(lǐng)域擁有強勁實力的硅谷企業(yè)之一。該公司斥資數(shù)十億美元收購眾多初創(chuàng)企業(yè)，并借此構(gòu)建起全面的用戶網(wǎng)絡(luò)瀏覽數(shù)據(jù)視圖。初創(chuàng)公司 BlueKai 于 2014 年以超過 4 億美元的價碼被 Oracle 收入囊中。

BlueKai 使用網(wǎng)站 cookies 及其他跟蹤技術(shù)監(jiān)視用戶的網(wǎng)絡(luò)動向，依靠從各種來源不停地收集數(shù)據(jù)以了解市場動態(tài)，并結(jié)合人們的利益訴求發(fā)布最精準(zhǔn)的廣告內(nèi)容。

營銷人員可以利用 Oracle 龐大的數(shù)據(jù)庫，通過信用機構(gòu)、分析企業(yè)以及其他消費者數(shù)據(jù)源（包括日均數(shù)十億個數(shù)據(jù)點位置）獲取信息，最終確定最符合受眾口味的廣告內(nèi)容。此外，營銷人員也可以上傳經(jīng)過整理的消費者個人數(shù)據(jù)，例如注冊網(wǎng)站或訂閱商業(yè)新聞時需要提交的個人信息。

這部分數(shù)據(jù)看似并不敏感，但在彼此融合之后，卻能夠為個人用戶及其設(shè)備創(chuàng)建出唯一“指紋”，借此跟蹤對方在互聯(lián)網(wǎng)上的瀏覽動向。

BlueKai 還能夠?qū)⒂脩舻囊苿泳W(wǎng)絡(luò)瀏覽習(xí)慣與桌面行為聯(lián)系起來，保證無論用戶使用哪種設(shè)備，都可以通過互聯(lián)網(wǎng)跟蹤他們的活動。

BlueKai 收集到的內(nèi)容越多，對用戶喜好的推理就越準(zhǔn)確，進而幫助廣告商們更加有的放矢地向不同群體發(fā)送不同宣傳內(nèi)容。

但在相當(dāng)長的一段時期內(nèi)，保存這類數(shù)據(jù)的服務(wù)器壓根沒有設(shè)置密碼，導(dǎo)致網(wǎng)絡(luò)跟蹤數(shù)據(jù)被全面泄露在公開互聯(lián)網(wǎng)上。其中的數(shù)十億條記錄，隨時可供任何人翻閱查看。

安全研究員 Anurag Sen 發(fā)現(xiàn)了該數(shù)據(jù)庫，并以網(wǎng)絡(luò)安全公司 Hudson Rock 首席執(zhí)行官 Roi Carthy 為中間人向 Oracle 方面報告了自己的發(fā)現(xiàn)。

根據(jù) Sen 提供的數(shù)據(jù)，可以從中找到用戶姓名、家庭住址、電子郵件地址以及其他身份相關(guān)數(shù)據(jù)。數(shù)據(jù)中還包含用戶的各類敏感網(wǎng)絡(luò)瀏覽活動，例如網(wǎng)上購物及新聞退訂等各類操作。

Oracle 公司發(fā)言人 Deborah Hellinger 指出，“甲骨文公司發(fā)現(xiàn)，Hudson Rock 公司 Roi Carthy 上報的部分 BlueKai 記錄屬于網(wǎng)絡(luò)公開信息。雖然研究人員提供的初始信息不足以判斷到底是哪些系統(tǒng)受到影響，但甲骨文在隨后的調(diào)查中，發(fā)現(xiàn)確實有兩家客戶未能正確配置相關(guān)服務(wù)。甲骨文已經(jīng)采取措施以避免此類問題再次發(fā)生。”

2. 泄露的信息透明度極高

在幕后，BlueKai 在不斷提取并匹配盡可能多的個人原始數(shù)據(jù)，并將其與個人資料加以匹配，據(jù)此持續(xù)豐富對個體的了解并跟蹤其最新動態(tài)。

但最終，大量原始數(shù)據(jù)從暴露在外的數(shù)據(jù)庫中泄露出來。

根據(jù)此次曝光的一條記錄，我們發(fā)現(xiàn)某德國男子（這里隱去真實姓名）曾在 4 月 19 號在電子競技博彩網(wǎng)站上購買了 10 歐元的注碼。記錄中還包含該男子的居住地址、電話號碼與電子郵件地址。

再來看另一條記錄，其中顯示土耳其國內(nèi)最大的投資控股公司之一使用 BlueKai 服務(wù)對其網(wǎng)站用戶進行跟蹤。記錄顯示，一位住在伊斯坦布爾的用戶曾在一家家居用品商店中在線購買了價值 899 美元的家具。這類記錄中包含了買家的詳細信息，包括真實姓名、電子郵件地址以及買家訂單的網(wǎng)絡(luò)鏈接等等。

在另一條記錄中，詳細記錄了某位用戶如何取消新聞郵件訂閱服務(wù)。記錄顯示，此人可能對特定型號的行車記錄儀很感興趣。根據(jù)用戶代理信息，我們甚至可以發(fā)現(xiàn)他的 iPhone 系統(tǒng)版本已經(jīng)陳舊，需要進行軟件更新。

BlueKai 收集的數(shù)據(jù)越多，對個人用戶的推斷結(jié)論也就越準(zhǔn)確，自然更有能力發(fā)布符合個人口味的廣告來賺取利潤。

據(jù)數(shù)據(jù)庫發(fā)現(xiàn)者 Sen 介紹，泄露的數(shù)據(jù)庫中包含為期數(shù)個月的信息，部分記錄甚至可以追溯到 2019 年 8 月。

EFF 的 Cyphers 指出，“對人們網(wǎng)絡(luò)瀏覽習(xí)慣的細化分析，可以揭示出對應(yīng)用戶的個人愛好、政治傾向、收入水平、健康狀況、性取向以及賭博習(xí)慣等。隨著我們網(wǎng)絡(luò)生活的逐漸豐富，這類數(shù)據(jù)在日常生活中所占的比重也越來越大。”

3. 監(jiān)控?zé)o所不在

BlueKai 無處不在，真正意義上的無處不在。一項估算表明，BlueKai 跟蹤的網(wǎng)絡(luò)流量占全球總體流量中的 1% 以上——其日均數(shù)據(jù)收集量極為驚人，而且亞馬遜、ESPN、福布斯、Glassdoor、Healthline、Levi’s、MSN.com、Rotten Tomatoes 以及紐約時報等全球頂尖網(wǎng)站都成為其監(jiān)控對象。

但我們要關(guān)注的絕不只是 BlueKai。

2000 年后大數(shù)據(jù)營銷企業(yè)蜂擁而起，類似的 DMP 數(shù)據(jù)管理平臺在數(shù)字化轉(zhuǎn)型過程中具有戰(zhàn)略意義，因此相關(guān)的數(shù)據(jù)業(yè)務(wù)不斷在擴大。

我們訪問的幾乎每一個網(wǎng)站，都或多或少包含有某種形式的隱性跟蹤代碼，用于在訪客遍歷互聯(lián)網(wǎng)時實施監(jiān)視。這些隱性跟蹤器會將網(wǎng)絡(luò)瀏覽數(shù)據(jù)發(fā)送至云端一套巨大的數(shù)據(jù)庫內(nèi)，也正是這些數(shù)據(jù)背后帶來的經(jīng)濟價值讓整個互聯(lián)網(wǎng)得以長期免費運行。盡管大多數(shù)網(wǎng)絡(luò)用戶早已意識到這種無處不在的跟蹤，但營銷行業(yè)之外的人們恐怕仍難以想象這其中到底涉及多少數(shù)據(jù)、相關(guān)機構(gòu)又在怎樣處理數(shù)據(jù)。

以 2017 年引起軒然大波的 Equifax 數(shù)據(jù)泄露案為例，Equifax 在未經(jīng)許可的情況下從數(shù)百萬消費者處收集數(shù)據(jù)，受到立法者們的嚴厲抨擊。與 BlueKai 一樣，Equifax 公司把這些跟蹤行為都寫在了枯燥冗長的隱私政策里頭，但普通消費者誰又會去認真閱讀呢？而且就算認真看過，消費者除了被動接受之外也別無選擇。要么被跟蹤，要么放棄使用。想要免費上網(wǎng)，就必須付出點代價。

只要這樣的數(shù)據(jù)庫仍然存在，數(shù)據(jù)就終有一天會落入錯誤的人手中，并引發(fā)災(zāi)難性后果。每個人都應(yīng)該擁有自己的秘密，也都擁有不被某些人群窺探的權(quán)利。當(dāng)企業(yè)收集原始網(wǎng)頁瀏覽或購買數(shù)據(jù)時，無論如何脫敏，其中都必然包含無窮無盡的真實生活細節(jié)。

正是這些小小細節(jié)，或許會讓每一個人身陷潛在的風(fēng)險當(dāng)中。