甲骨文的蓝卡在网络上跟踪你。数据泄露到网上

科技巨头甲骨文是硅谷为数不多的几家几乎完善了通过互联网追踪人的艺术的公司之一。该公司花费了十年和数十亿美元收购初创公司，以建立自己的用户网络浏览数据全景图。

其中一家初创公司Bluekai在2014年被甲骨文(Oracle)以略高于4亿美元的价格收购，在营销界之外鲜为人知，但它积累了联邦政府以外最大的网络跟踪数据银行之一。

Bluekai使用网站cookie和其他跟踪技术在网络上跟踪你。通过知道你访问的网站和打开的电子邮件，营销人员可以利用这些海量的跟踪数据来推断尽可能多的关于你的信息-你的收入、教育、政治观点和兴趣等等-以便针对你投放符合你明显品味的广告。如果你点击，广告商就会赚钱。

但有一段时间，这些网络跟踪数据泄漏到了开放的互联网上，因为一台服务器没有受到保护，没有密码，暴露了数十亿条记录，任何人都可以找到。

安全研究人员Anurag Sen发现了这个数据库，并通过中间人-网络安全公司Hudson Rock首席执行官、前TechCrunch记者罗伊·卡西(Roi Carthy)向甲骨文报告了他的发现。

TechCrunch检查了Sen共享的数据，并在数据库中发现了姓名、家庭地址、电子邮件地址和其他可识别的数据。数据还揭示了敏感用户的网络浏览活动--从购买到退订时事通讯。

电子前沿基金会(Electronic Frontier Foundation)的技术人员班尼特·塞弗斯(Bennett Cyphers)在接受TechCrunch采访时表示：“真的不知道这些数据会有多大程度的泄露。”

甲骨文发言人Deborah Hellinger说：“甲骨文知道Hudson Rock的罗伊·卡西(Roi Carthy)就可能在互联网上曝光的某些Bluekai唱片所做的报告。”“虽然研究人员提供的最初信息没有包含足够的信息来识别受影响的系统，但甲骨文的调查随后确定有两家公司没有正确配置他们的服务。甲骨文已采取额外措施，以避免此问题重演。“

甲骨文没有透露这些公司的名字，也没有说明这些额外的措施是什么，也拒绝回答我们的问题或进一步置评。

但暴露的数据库的巨大规模使这成为今年最大的安全漏洞之一。

Bluekai依赖于从各种来源收集源源不断的数据，以了解趋势，为个人兴趣投放最准确的广告。

营销人员可以利用甲骨文庞大的数据库，从信用机构、分析公司和其他消费者数据来源(包括数十亿个每日位置数据点)中提取数据，以定向投放广告。或者，营销人员可以上传他们自己直接从消费者那里获得的数据，比如当你在网站上注册账户或注册公司的时事通讯时，你提交的信息。

但Bluekai也使用了更隐蔽的策略，比如允许网站嵌入看不见的像素大小的图像，以便在你打开页面时立即收集关于你的信息-硬件、操作系统、浏览器和任何有关网络连接的信息。

这些数据--被称为网络浏览器的“用户代理”--可能看起来并不敏感，但当融合在一起时，它可以创建一个人的设备的独特的“指纹”，这个指纹可以用来在他浏览互联网时追踪那个人。

Bluekai还可以将你的移动网络浏览习惯与你的桌面活动捆绑在一起，无论你使用哪种设备，它都可以在互联网上跟随你。

假设一名营销者想要开展一场活动，试图销售一款新车型。在Bluekai的案例中，它已经有了一个“汽车爱好者”类别-以及许多其他更具体的类别-营销者可以用来进行广告定位。任何访问过汽车制造商的网站或博客的人都可以被归类为“汽车发烧友”。随着时间的推移，这个人会被分成不同的类别，在一个个人资料下，这个个人资料会对你有同样多的了解，以便用这些广告来定位你。

这项技术远非完美。“哈佛商业评论”(Harvard Business Review)今年早些时候发现，甲骨文(Oracle)等数据经纪人收集的信息在质量上可能存在很大差异。

2012年，塔吉特(Target)向一名高中生邮寄了产假优惠券，因为内部分析系统甚至在她还没有告诉父母的情况下就发现她怀孕了，因为它从她的网页浏览中收集了数据。

普林斯顿大学(Princeton University)科学教授乔纳森·梅尔(Jonathan Mayer)告诉TechCrunch，Bluekai是链接数据的领先系统之一。

“如果你让浏览器同时发送电子邮件地址和跟踪cookie，这就是建立链接所需要的，”他说。

最终目标：Bluekai收集的信息越多，它就能推断出更多关于你的信息，从而更容易向你投放可能诱使你点击赚钱魔力的广告。

但一位营销专业人士告诉TechCrunch，营销人员不能简单地登录Bluekai并从其服务器上下载大量个人信息。这些数据是经过清理和屏蔽的，这样营销人员就不会看到姓名、地址或任何其他个人数据。

正如梅耶尔解释的那样：Bluekai收集个人数据；它不会与营销人员共享这些数据。

在幕后，Bluekai不断地根据每个人的个人资料收集和匹配尽可能多的原始个人数据，不断丰富这些个人资料数据，以确保它是最新的和相关的。

TechCrunch发现了包含私人购买详细信息的记录。其中一份记录详细描述了4月19日，一名德国男子如何使用预付借记卡在一家体育博彩网站下了10欧元的赌注。记录中还包含了这名男子的地址、电话号码和电子邮件地址。这名男子的姓名我们没有透露。

另一项记录披露了土耳其最大的投资控股公司之一是如何使用Bluekai跟踪其网站上的用户的。这份记录详细描述了一位住在伊斯坦布尔的人是如何在网上从一家家居用品商店订购了价值899美元的家具。我们知道，因为记录包含所有这些详细信息，包括买家的姓名、电子邮件地址和买家订单的直接网址，因此不需要登录。

我们还回顾了一份记录，详细记录了一个人如何取消订阅由一名电子产品消费者运行的电子邮件时事通讯，并将其发送到他的iCloud地址。记录显示，该人可能对一种特定型号的汽车仪表盘感兴趣。我们甚至可以根据他的用户代理判断，他的iPhone已经过时，需要更新软件。

据发现该数据库的森说，这些数据追溯了几个月。他说，一些日志可以追溯到2019年8月。

EFF的Cyphers说：“人们浏览网络习惯的细粒度记录可以揭示人们的爱好、政治背景、收入阶层、健康状况、性偏好，以及-正如这里明显的-赌博习惯。”“随着我们越来越多地生活在网上，这类数据在我们的生活中所占的比例越来越大。”

甲骨文拒绝透露是否将安全漏洞告知了那些数据被曝光的人。该公司还拒绝透露是否已就这一事件向美国或国际监管机构发出警告。

根据加利福尼亚州的法律，甲骨文等公司必须公开披露数据安全事件，但甲骨文迄今尚未宣布这一失效。当记者联系到加州总检察长办公室的一位发言人时，他拒绝透露甲骨文是否已将这一事件通知了该办公室。

根据欧洲的一般数据保护条例，如果公司藐视数据保护和披露规则，可能面临高达其全球年营业额4%的罚款。

据估计，Bluekai跟踪了超过1%的网络流量--这是一个深不可测的每日数据收集--并跟踪了世界上一些最大的网站：亚马逊、ESPN、福布斯、GlassDoor、Healthline、Levi‘s、MSN.com、烂番茄和“纽约时报”。即使是这篇文章也有一个蓝凯跟踪器，因为我们的母公司Verizon Media是蓝凯的合作伙伴。

但布鲁凯并不孤单。几乎你访问的每个网站都包含某种形式的隐形跟踪码，它会在你浏览互联网时监视你。

尽管隐形追踪器将你的网络浏览数据输入到云中的一个巨大数据库中，这是一种侵入性的行为，但正是这些数据让互联网在很长一段时间里基本上是免费的。

为了保持免费，网站使用广告来创造收入。广告的针对性越强，收入就应该越好。

虽然大多数网络用户还没有天真到认为互联网跟踪不存在，但很少有外部营销界了解收集了多少数据，以及这些数据是怎么做的。

以2017年Equifax数据泄露事件为例，该事件在未经立法者明确同意的情况下收集了数百万消费者的数据，引发了立法者的严厉批评。Equifax和Bluekai一样，依赖于消费者跳过管理网站如何跟踪他们的冗长隐私政策。

无论如何，消费者别无选择，只能接受这些条款。被跟踪或离开现场。这就是免费互联网的权衡。

Cyphers说：“只要存在这样的数据库，数据最终落入坏人手中并伤害某人的风险总是存在的。”

Cyphers表示，如果这些数据落入恶意人士手中，可能会导致身份盗窃、网络钓鱼或跟踪。

“对于执法部门和政府机构来说，这也是一个有价值的目标，他们希望利用甲骨文已经在做的数据收集工作，”他说。

他说，即使数据停留在预期的位置，塞弗斯说，这些庞大的数据库也可以“为政治问题或剥削性服务等事情提供操纵性广告，并允许营销人员针对特定的弱势群体定制他们的信息”。

Cyphers说：“每个人都有不同的东西想要保密，不同的人想要保护他们的隐私。”“当公司收集原始的网页浏览或购买数据时，数千个关于真人生活的小细节就会在一路上被收集起来。”

“这些小细节中的每一个都有可能将某人置于危险之中，”他说。