[English]Oracles Tochter BlueKai betreibt eine riesige Datenbank zum Nutzertracking über die Cloud. Durch einen nicht abgesicherten Server ist jetzt das Ausmaß dieses Trackings sichtbar geworden. Millionen Benutzerdaten, teilweise als Personen identifizierbar, standen offen im Internet und zeigen, wie gläsern Nutzer inzwischen sind.
Anzeige
Hintergrund: BlueKai
BlueKai ist eine Cloud-basierte Plattform für große Datenmengen, und wurde 2008 von Omar Tawakol, Alexander Hooshmand und Grant Ries als Marketing-Tech-Start-up mit Sitz in Cupertino, Kalifornien, gegründet. 2014 hat Oracle etwa 400 Millionen Dollar hingeblättert, um BlueKai zu übernehmen. Seitdem ermöglicht BlueKai es Unternehmen, Online-, Offline- und mobile Marketingkampagnen zu personalisieren.
Dazu bietet das Unternehmen Datenerfassungsdienste für Dritte an. BlueKai sammelt die Daten von PC- und Smartphone-Nutzern, um das Anzeigenmarketing für ihre Kunden zu verbessern. Im Jahr 2015 verfügte BlueKai über etwa 700 Millionen verwertbare Profile.
BlueKai hat mit Unternehmen wie Twitter und Facebook zusammengearbeitet, um die Relevanz der Anzeigen zu gewährleisten, die für die Nutzer dieser Unternehmen erscheinen. Andere Kunden und Websites, die die Dienste von BlueKai nutzen, sind Live.com, Huffingtonpost.com, Walmart.com, Vimeo.com, Microsoft.com und eBay.com.
Als Datenerfassungsunternehmen sammelt BlueKai Informationen über Nutzer, die im Web surfen. BlueKai behauptet zwar, keine sensiblen finanziellen Details, Material für Erwachsene oder Gesundheitsfragen zu sammeln. Das stimmt aber nicht und das Unternehmen steht diesbezüglich in der Kritik, weil die Nutzer das BlueKai-Angebot als Verletzung der Privatsphäre empfinden.
Heute fungiert dieses Oracle-Angebot unter Oracle Data Management Platform (Oracle DMP). Und das Unternehmen macht keinen Hehl, dass man Daten von Benutzern über Geräte trackt, um Werbekunden eine möglichst zielgerichtete Werbung zu bieten. Also nichts anderes als das, was Facebook oder Google und viele Datensammler machen.
Das Datenleck bei BlueKai
Kürzlich stieß der US-Sicherheitsexperte Anurag Sen im Netz auf eine ungeschützte Datenbank mit Milliarden von Nutzerdaten. Der Datenbankserver war falsch konfiguriert, wodurch die Daten ohne spezielle Berechtigungen einsehbar waren.
Exclusive: Oracle's BlueKai tracks millions around the web, collecting your browsing history, purchases, unsubscribes, and more.
But a security lapse exposed that data — billions of records — in one of the biggest data incidents of the year.https://t.co/VWOZLjdlSm
— TechCrunch (@TechCrunch) June 19, 2020
Sen hat seine Erkenntnisse natürlich Oracle mitgeteilt, die die Datenbank offline genommen haben. Sen hat aber auch Techcrunch informiert, die hier über das Thema berichteten. Damit rückte die Information, dass die Oracle-Tochter Nutzer massive für Werbenetzwerke trackt, plötzlich ins Licht der Öffentlichkeit. Golem schreibt hier, dass BlueKai zwar deutlich weniger als andere Anbieter wie Amazon, Facebook oder Google tracken (wobei Google gerade über die Consent Management Platform 2.0 den Schritt vollzieht, dass der Nutzer explizit zustimmen muss). Aber BlueKai speichert auch Namen, Adressen, E-Mail-Adressen und weitere personenbezogene Angaben wie Zahlungsvorgänge, was durch das Datenleck bekannt wurde.
Anzeige
BlueKai gibt zwar an, dass nur pseudonymisierte Daten in die Datenbank wandern – was suggeriert, dass die Nutzer nicht identifizierbar sind. Das trifft für die von Techchrunch eingesehenen Datenbestände aber wohl eher nicht zu. Dort waren sehr detaillierte Daten gespeichert. Als Beispiel wird ein deutscher Nutzer zitiert, der eine Prepaid-Geldkarte verwendet, um im April 2020 bei einem Sportwettenanbieter 10 Euro zu setzen. BlueKai speicherte dabei auch Name, Telefonnummer und Adressdaten.
In der Datenbank finden sich auch Vorgänge wie abbestellte Newsletter. Dort konnten die Sicherheitsforscher erkennen, dass ein Benutzer besonderes Interesse an elektronischen Geräten hatte. Sie iPhone war bezüglich iOS veraltet und hätte ein Update benötigt.
Datenschutzrechtliche Fragen
Das Ganze wirft natürlich eine Reihe an datenschutzrechtlichen Fragestellungen auf. Diese Daten hätten niemals ohne Zustimmung des Nutzers so gesammelt werden dürfen. Das Datenleck als Folge eines falsch konfigurierten Servers ist ein meldepflichtiger Datenschutzvorfall. Unklar ist, ob Oracle bzw. die Tochter diese Vorfall den kalifornischen Behörden (COPPA) sowie den europäischen Datenschutzbehörden nach DSGVO innerhalb von 72 Stunden gemeldet hat. heise hat hier einen deutschsprachigen Beitrag zum Thema veröffentlicht, der auf den Aspekt, wie kritisch nicht-pseudonymisierte Rohdaten sein können.
2015
