首页 > 评论 > 关键词 > Oracle最新资讯 > 正文

全球数十亿条用户记录被泄露,姓名住址全曝光,Oracle或已引发今年最大的数据安全事件

2020-06-24 17:00 · 稿源:InfoQ公众号
文章目录

声明:本文来自于微信公众号 InfoQ(ID:infoqchina),编译:核子可乐、Tina,授权站长之家转载发布。

Oracle 的广告技术部门,因服务器处于不安全且未设置密码的状态,导致数据库中全球数十亿人的记录被泄露。

Oracle 于 2014 年以超过 4 亿美元的价格收购了初创企业 BlueKai ,并将其产品添加到 Oracle 的数据云(ODC)和营销云(OMC)中。BlueKai 通过 cookie 和其他跟踪技术监视网络上的用户,并为第三方提供数据收集服务,同时维护着一个大型数据库。因为背后有 Oracle 的支撑,BlueKai 的发展相当迅速。据 Whotracks 网站估计,BlueKai 跟踪了所有 Web 流量的 1%以上。

但在相当长的一段时期内,保存这些数据的服务器压根没有设置密码,导致网络跟踪数据被全面泄露在公开互联网上。

其中的数十亿条记录,随时可供任何人翻阅查看。

曝光出来的这些记录,显示出极高的透明度,包含姓名、家庭住址、电子邮件和其他比如付款交易等个人信息,因此通过用户的“数字画像”可以长期追踪他的在线活动。

例如其中一条记录,可以具体到某德国男子(这里隐去真实姓名)曾在 4 月 19 号在电子竞技博彩网站上购买了 10 欧元的注码,还包含该男子的居住地址、电话号码与电子邮件地址。另一条记录显示,一位住在伊斯坦布尔的用户曾在一家家居用品商店在线购买了价值 899 美元的家具,内含买家的详细信息,包括真实姓名、电子邮件地址以及买家订单的网络链接等。

安全研究员 Anurag Sen 发现了该数据库,并向 Oracle 方面报告了自己的发现。随后 Oracle 将数据库进行了脱机处理。但不管怎么样,此次曝光数据库的庞大规模都使其成为今年发生的最大安全违规事件之一。

甲骨文

事件回顾

科技巨头 Oracle 是少数几家在互联网跟踪技术领域拥有强劲实力的硅谷企业之一。该公司斥资数十亿美元收购众多初创企业,并借此构建起全面的用户网络浏览数据视图。初创公司 BlueKai 于 2014 年以超过 4 亿美元的价码被 Oracle 收入囊中。

BlueKai 使用网站 cookies 及其他跟踪技术监视用户的网络动向,依靠从各种来源不停地收集数据以了解市场动态,并结合人们的利益诉求发布最精准的广告内容。

营销人员可以利用 Oracle 庞大的数据库,通过信用机构、分析企业以及其他消费者数据源(包括日均数十亿个数据点位置)获取信息,最终确定最符合受众口味的广告内容。此外,营销人员也可以上传经过整理的消费者个人数据,例如注册网站或订阅商业新闻时需要提交的个人信息。这部分数据看似并不敏感,但在彼此融合之后,却能够为个人用户及其设备创建出唯一“指纹”,借此跟踪对方在互联网上的浏览动向。

BlueKai 还能够将用户的移动网络浏览习惯与桌面行为联系起来,保证无论用户使用哪种设备,都可以通过互联网跟踪他们的活动。

BlueKai 收集到的内容越多,对用户喜好的推理就越准确,进而帮助广告商们更加有的放矢地向不同群体发送不同宣传内容。

但在相当长的一段时期内,保存这类数据的服务器压根没有设置密码,导致网络跟踪数据被全面泄露在公开互联网上。其中的数十亿条记录,随时可供任何人翻阅查看。

安全研究员 Anurag Sen 发现了该数据库,并以网络安全公司 Hudson Rock 首席执行官 Roi Carthy 为中间人向 Oracle 方面报告了自己的发现。

根据 Sen 提供的数据,可以从中找到用户姓名、家庭住址、电子邮件地址以及其他身份相关数据。数据中还包含用户的各类敏感网络浏览活动,例如网上购物及新闻退订等各类操作。

Oracle 公司发言人 Deborah Hellinger 指出,“甲骨文公司发现,Hudson Rock 公司 Roi Carthy 上报的部分 BlueKai 记录属于网络公开信息。虽然研究人员提供的初始信息不足以判断到底是哪些系统受到影响,但甲骨文在随后的调查中,发现确实有两家客户未能正确配置相关服务。甲骨文已经采取措施以避免此类问题再次发生。”

泄露的信息透明度极高

在幕后,BlueKai 在不断提取并匹配尽可能多的个人原始数据,并将其与个人资料加以匹配,据此持续丰富对个体的了解并跟踪其最新动态。

但最终,大量原始数据从暴露在外的数据库中泄露出来。

根据此次曝光的一条记录,我们发现某德国男子(这里隐去真实姓名)曾在 4 月 19 号在电子竞技博彩网站上购买了 10 欧元的注码。记录中还包含该男子的居住地址、电话号码与电子邮件地址。

再来看另一条记录,其中显示土耳其国内最大的投资控股公司之一使用 BlueKai 服务对其网站用户进行跟踪。记录显示,一位住在伊斯坦布尔的用户曾在一家家居用品商店中在线购买了价值 899 美元的家具。这类记录中包含了买家的详细信息,包括真实姓名、电子邮件地址以及买家订单的网络链接等等。

在另一条记录中,详细记录了某位用户如何取消新闻邮件订阅服务。记录显示,此人可能对特定型号的行车记录仪很感兴趣。根据用户代理信息,我们甚至可以发现他的 iPhone 系统版本已经陈旧,需要进行软件更新。

BlueKai 收集的数据越多,对个人用户的推断结论也就越准确,自然更有能力发布符合个人口味的广告来赚取利润。

据数据库发现者 Sen 介绍,泄露的数据库中包含为期数个月的信息,部分记录甚至可以追溯到 2019 年 8 月。

EFF 的 Cyphers 指出,“对人们网络浏览习惯的细化分析,可以揭示出对应用户的个人爱好、政治倾向、收入水平、健康状况、性取向以及赌博习惯等。随着我们网络生活的逐渐丰富,这类数据在日常生活中所占的比重也越来越大。”

监控无所不在

BlueKai 无处不在,真正意义上的无处不在。一项估算表明,BlueKai 跟踪的网络流量占全球总体流量中的 1% 以上——其日均数据收集量极为惊人,而且亚马逊、ESPN、福布斯、Glassdoor、Healthline、Levi’s、MSN.com、Rotten Tomatoes 以及纽约时报等全球顶尖网站都成为其监控对象。

但我们要关注的绝不只是 BlueKai。

2000 年后大数据营销企业蜂拥而起,类似的 DMP 数据管理平台在数字化转型过程中具有战略意义,因此相关的数据业务不断在扩大。

我们访问的几乎每一个网站,都或多或少包含有某种形式的隐性跟踪代码,用于在访客遍历互联网时实施监视。这些隐性跟踪器会将网络浏览数据发送至云端一套巨大的数据库内,也正是这些数据背后带来的经济价值让整个互联网得以长期免费运行。尽管大多数网络用户早已意识到这种无处不在的跟踪,但营销行业之外的人们恐怕仍难以想象这其中到底涉及多少数据、相关机构又在怎样处理数据。

以 2017 年引起轩然大波的 Equifax 数据泄露案为例,Equifax 在未经许可的情况下从数百万消费者处收集数据,受到立法者们的严厉抨击。与 BlueKai 一样,Equifax 公司把这些跟踪行为都写在了枯燥冗长的隐私政策里头,但普通消费者谁又会去认真阅读呢?而且就算认真看过,消费者除了被动接受之外也别无选择。要么被跟踪,要么放弃使用。想要免费上网,就必须付出点代价。

只要这样的数据库仍然存在,数据就终有一天会落入错误的人手中,并引发灾难性后果。每个人都应该拥有自己的秘密,也都拥有不被某些人群窥探的权利。当企业收集原始网页浏览或购买数据时,无论如何脱敏,其中都必然包含无穷无尽的真实生活细节。

正是这些小小细节,或许会让每一个人身陷潜在的风险当中。

  • 相关推荐
  • 大家在看
  • Facebook在德国败诉 滥用支配地位收集用户数据

    周二,德国最高法院裁定,Facebook滥用其在社交媒体上的主导地位,非法获取用户数据。这一裁决可能进一步鼓励欧洲各国政府向大型科技平台采取行动。

  • 研究:发生数据泄露后,仅三分之一用户会更改密码

    根据卡内基梅隆大学安全与隐私研究所(CyLab)的学者最近发表的一项研究,只有大约三分之一的用户通常会在数据泄露后更改密码。

  • 海外多个约会APP高达845GB数据泄露 包含露骨照片、聊天记录等

    上个月,安全研究人员Noam Rotem和Ran Locar在扫描开放的互联网时,无意中发现了一组可公开访问的亚马逊网络服务(AWS)数据包。每个数据包包含了来自多个不同约会应用的数据,包括3somes、Cougary、Gay Daddy Bear等等。研究人员总共找到了845GB和近 250 万份记录,可能涉及了数十万用户的数据。

  • 探探6周年数据报告:全球用户数超3.6亿 90后用户占比近80%

    近日,探探发布 6 周年数据报告。报告显示,探探自 2014 年上线至今,探探全球用户数已超3. 6 亿,其中 90 后用户占比近80%,60%以上活跃用户完成真实头像认证。同时, 6 年间,探探平台累计完成匹配数超 151 亿次,平台聊天消息总行数超 1100 亿。进入 2020 年后,探探平台每日新增照片数超 100 万张,接近 6 年均值的 2 倍。

  • 中国联通拒绝公布5G用户数:依然是个蜜汁存在

    近日,三大运营商陆续公布了各自的2020年5月份运营数据,值得一提的是,联通5G的用户规模依然不肯公布。截止2020年5月底,中国移动的移动业务用户数达9.470亿,当月净增25.2万,今年累计净减3

  • 翼龙贷为农村金融在农户数据上填补了大量空白

    在中国,农业人口众多、地域分布广泛,农村开展普惠金融成为世界级难题。翼龙贷经过十余年的探索,特别是在互联网金融技术推动下,快速推进农村普惠金融的发展。具体来看,依靠互联网技术创新、大数据积累,以及在“三农”互联网金融市场占有优势,翼龙贷不断迭代优化“三农”融资渠道,提供快捷、及时的金融信息撮合服务,持续推动农村信用体系建设,帮助“三农”群体逐步建立信用记录,更好地获取金融服务,为农村金融在农户数据

  • 重视海外用户需求,ColorOS 印度月活跃用户数达 4500 万

    2020 年 6 月 19 日,印度主流媒体 Indianexpress 在对 ColorOS 产品本地化负责人 Manoj Kumar 的采访中,公开了 ColorOS 7.1 新功能开发过程以及 ColorOS 对产品本地化的思考。报道显示,目前 ColorOS 在全球拥有 3.5 亿月活跃用户,其中印度有 4500 万活跃用户,而高活跃用户的背后,是 ColorOS 对用户需求的精准把握和在本土化方面的不断追求。重视不同地区的用户需求Manoj Kumar 介绍,目前 OPPO 在印度的研发中心已经有 300 ?

  • 魅族发布Flyme用户习惯大数据:24小时都在干啥?

    6月25日晚,魅族发布了Flyme用户习惯大数据,看看煤油24小时都在干嘛呢。该数据为近30天的每日平均值。数据显示,12%的Flyme用户会在1:00-6:00为自己的手机清理加速,15%的Flyme用户会在7:00-

  • 李开复:互巨头不用个人数据会使用户不便,谁做坏事惩罚谁

    6 月 20 日,创新工场董事长李开复谈互联网巨头拿走个人数据时表示,互联网巨头拿走个人数据赚钱,获得授权和分成给个人仍是理想主义,“现在把数据还给你,它没办法做好AI了,会使你更不便,应该是谁用数据做了坏事就去惩罚它,而不是把数据全部收回来还给个人。”

  • 抖音开放平台推出公开数据服务 为用户提供运营支持

    6月4日消息,近日,抖音开放平台宣布推出公开数据服务。接入服务的开发者可以为用户提供抖音热点数据、视频公开数据、星图榜单、生活服务数据等服务,为视频创作和账号运营提供更多支持。基于这些服务,用户和机构可以实时了解平台热点动态,在日常运营过程中做到有的放矢。据介绍,该服务已经上线,并对抖音用户、营销服务商、mcn机构、品牌商、各垂直领域服务商等外部开发者全面开放,登录抖音开放平台官方网站即可?

  • 数据化运营,Smartbi助力商业银行打造“数据王国”

    在国内,银行的信息化一直是走在各个行业的前列,BI在银行也有着悠久和广泛的应用。BI可以辅助银行管理者和业务人员的经营决策,提高银行的科学管理水平,是银行信息化不可或缺的一部分,也是银行实现数字化转型的必要手段。银行的BI建设伴随着业务和技术的发展,是一个逐步摸索、不断成熟的过程。刚开始可能只建设某一个部门的一部分报表,在取得一定的成效后,再逐步推广到更多的部门,建设更多的主题,采用更多的可视化方式,支

  • 罗永浩直播数据在哪看 罗永浩直播数据统计

    罗永浩的直播带货数据一直都被很多网友们关注,尤其是他第一场直播的时候就已经获得了1.68亿的销售额,直播间观看人数更是达到了4800万,在如今的直播带货领域可以说是十分顶流。

  • 云测数据:场景化AI数据 破解智能家居“伪智能”

    据IDC的数据研究报告显示,近5年内智能家居市场将以14.9%的复合增长率增长。得益于物联网、人工智能、5G等新型技术的飞速发展,智能家居在短短数年间就已经相继渡过了“自动化”、单品智能化”、“物联网+家居场景”三个阶段,进入了当前的“人工智能+家居场景”的“智能”阶段,开启了智能家居对人的思维和意识的学习与探索。现阶段的智能家居融合了IoT、人工智能、边缘计算等信息技术,以前影视片段中一声令下就能控制所有家具电器、?

  • 快手回应主播带货数据疑似造假:数据接口调试不到位

    针对快手主播带货数据疑似造假一事,快手回应称,快手对数据做假零容忍,一经查实严肃处理。此前快手平台上的主播小伊伊与寺库的直播带货数据遭到了网友的质疑。

  • 华为开源数据库能力 开放openGauss数据库源代码

    今日,华为正式宣布开源数据库能力,开放openGauss数据库源代码,并成立openGauss开源社区,社区官网(opengauss.org)同步上线。

  • 数据中台变革在即 阿里云数据中台升级瞄准行业化

    6 月 9 日,在 2020 阿里云线上峰会上,阿里云发布了新一代数据中台,重点发布核心产品矩阵“2+2”升级,并同步推出了四大行业数据中台。据了解,这是阿里云数据中台首次对外宣布升级。记者尝试通过产品矩阵升级和行业数据中台发布来解读背后的信号。从大数据基础能力延伸到精细化业务赋能过去,阿里云数据中台主要围绕两款产品来为企业提供数据中台服务——Dataphin和Quick BI。Dataphin的能力重点主要是智能数据体系的构建及管理

  • 人工智能+大数据,新浪舆情通用更“智能”的数据助力决策

    人工智能技术的应用早已深入人们的生活,语言翻译、智能音箱、导航系统、城市安防系统之中都能有人工智能技术的参与,在推动国家治理、优化企业运营策略的过程中,也能见到人工智能技术的应用。近年来,政企机构越来越重视聆听新媒体平台上的声音,并通过大数据分析和数据简报等方式挖掘信息价值,洞察民意以辅助自身决策。随着数字基础设施建设的逐步加速,互联网信息将成倍增长,并且以更复杂多样的形态和方式出现,人工智能技术

  • 快手回应小伊伊带货数据疑似造假:1.05亿是真,数据接口的“锅”

    昨日,针对“快手”小伊伊直播带货数据涉嫌造假”一事,快手回应称,小伊伊与寺库的专场直播成交额由寺库快手小店后台数据统计得出,确实为1.05亿。由于本场直播快手小店与寺库的数据接口调试不到位,造成前后端数据显示不一致。6月7日晚,粉丝数量高达3632万的快手一姐“小伊伊”联手寺库开启奢侈品专场直播。其快手小店战报显示,23点30分,小伊伊成交额超1亿。然而很快,有网友对快手平台网红?

  • 快手回应主播带货数据疑似造假:没造假 数据接口调试不到位

    昨日,针对“快手小伊伊直播带货数据涉嫌造假”一事,快手回应称,感谢大家的关注和监督,快手对数据做假零容忍,一经查实严肃处理。小伊伊与寺库的专场直播成交额由寺库快手小店后台数据统计得出,确实为1. 05 亿。

  • 李开复谈互联网巨头拿走个人数据:应该惩罚用数据做坏事的企业

    在6月20日的极客公园联合bilibili举办的Rebuild2020的对话上,谈及“个人隐私”,创新工场董事长李开复表示,联网巨头拿走个人数据赚钱,用户获得授权和分成仍是理想主义,用户拿回自己的数据会发现在电商平台搜不到自己想要的东西了,社交媒体获得不到推荐的好友了,推荐你的餐馆不靠谱了

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议