Oracle BlueKai: Datenleck bei Tracking-Datenbank

[English]Oracles Tochter BlueKai betreibt eine riesige Datenbank zum Nutzertracking über die Cloud. Durch einen nicht abgesicherten Server ist jetzt das Ausmaß dieses Trackings sichtbar geworden. Millionen Benutzerdaten, teilweise als Personen identifizierbar, standen offen im Internet und zeigen, wie gläsern Nutzer inzwischen sind.


Anzeige

Hintergrund: BlueKai

BlueKai ist eine Cloud-basierte Plattform für große Datenmengen, und wurde 2008 von Omar Tawakol, Alexander Hooshmand und Grant Ries als Marketing-Tech-Start-up mit Sitz in Cupertino, Kalifornien, gegründet. 2014 hat Oracle etwa 400 Millionen Dollar hingeblättert, um BlueKai zu übernehmen. Seitdem ermöglicht BlueKai es Unternehmen, Online-, Offline- und mobile Marketingkampagnen zu personalisieren.

Dazu bietet das Unternehmen Datenerfassungsdienste für Dritte an. BlueKai sammelt die Daten von PC- und Smartphone-Nutzern, um das Anzeigenmarketing für ihre Kunden zu verbessern. Im  Jahr 2015 verfügte BlueKai über etwa 700 Millionen verwertbare Profile.

BlueKai hat mit Unternehmen wie Twitter und Facebook zusammengearbeitet, um die Relevanz der Anzeigen zu gewährleisten, die für die Nutzer dieser Unternehmen erscheinen. Andere Kunden und Websites, die die Dienste von BlueKai nutzen, sind Live.com, Huffingtonpost.com, Walmart.com, Vimeo.com, Microsoft.com und eBay.com.

Als Datenerfassungsunternehmen sammelt BlueKai Informationen über Nutzer, die im Web surfen. BlueKai behauptet zwar, keine sensiblen finanziellen Details, Material für Erwachsene oder Gesundheitsfragen zu sammeln. Das stimmt aber nicht und das Unternehmen steht diesbezüglich in der Kritik, weil die Nutzer das BlueKai-Angebot als Verletzung der Privatsphäre empfinden.

Heute fungiert dieses Oracle-Angebot unter Oracle Data Management Platform (Oracle DMP). Und das Unternehmen macht keinen Hehl, dass man Daten von Benutzern über Geräte trackt, um Werbekunden eine möglichst zielgerichtete Werbung zu bieten. Also nichts anderes als das, was Facebook oder Google und viele Datensammler machen.

Das Datenleck bei BlueKai

Kürzlich stieß der US-Sicherheitsexperte Anurag Sen im Netz auf eine ungeschützte Datenbank mit Milliarden von Nutzerdaten. Der Datenbankserver war falsch konfiguriert, wodurch die Daten ohne spezielle Berechtigungen einsehbar waren.

Sen hat seine Erkenntnisse natürlich Oracle mitgeteilt, die die Datenbank offline genommen haben. Sen hat aber auch Techcrunch informiert, die hier über das Thema berichteten. Damit rückte die Information, dass die Oracle-Tochter Nutzer massive für Werbenetzwerke trackt, plötzlich ins Licht der Öffentlichkeit. Golem schreibt hier,  dass BlueKai zwar deutlich weniger als andere Anbieter wie Amazon, Facebook oder Google tracken (wobei Google gerade über die Consent Management Platform 2.0 den Schritt vollzieht, dass der  Nutzer explizit zustimmen muss). Aber BlueKai speichert auch Namen, Adressen, E-Mail-Adressen und weitere personenbezogene Angaben wie Zahlungsvorgänge, was durch das Datenleck bekannt wurde.


Anzeige

BlueKai gibt zwar an, dass nur pseudonymisierte Daten in die Datenbank wandern – was suggeriert, dass die Nutzer nicht identifizierbar sind. Das trifft für die von Techchrunch eingesehenen Datenbestände aber wohl eher nicht zu. Dort waren sehr detaillierte Daten gespeichert. Als Beispiel wird ein  deutscher Nutzer zitiert, der eine Prepaid-Geldkarte verwendet, um im April 2020 bei einem Sportwettenanbieter 10 Euro zu setzen. BlueKai speicherte dabei auch Name, Telefonnummer und Adressdaten.

In der Datenbank finden sich auch Vorgänge wie abbestellte Newsletter. Dort konnten die Sicherheitsforscher erkennen, dass ein Benutzer besonderes Interesse an elektronischen Geräten hatte. Sie iPhone war bezüglich iOS veraltet und hätte ein Update benötigt.

Datenschutzrechtliche Fragen

Das Ganze wirft natürlich eine Reihe an datenschutzrechtlichen Fragestellungen auf. Diese Daten hätten niemals ohne Zustimmung des Nutzers so gesammelt werden dürfen. Das Datenleck als Folge eines falsch konfigurierten Servers ist ein meldepflichtiger Datenschutzvorfall. Unklar ist, ob Oracle bzw. die Tochter diese Vorfall den kalifornischen Behörden (COPPA) sowie den europäischen Datenschutzbehörden nach DSGVO innerhalb von 72 Stunden gemeldet hat. heise hat hier einen deutschsprachigen Beitrag zum Thema veröffentlicht, der auf den Aspekt, wie kritisch nicht-pseudonymisierte Rohdaten sein können.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenleck, Datenschutz, Oracle, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.