BlueKai ti segue nel web, però i dati sono stati rubati

BlueKai ti segue nel web, però i dati sono stati rubati

Ti sei mai chiesto perché compaiono annunci online per le cose a cui stavi solo pensando?

Non è una grande cospirazione. La tecnologia pubblicitaria può essere terribilmente accurata.

Il gigante della tecnologia Oracle è una delle poche aziende della Silicon Valley che ha quasi perfezionato l'arte di rintracciare le persone su Internet. La società ha speso un decennio e miliardi di dollari per acquistare startup per creare il proprio panopticon dei dati di navigazione web degli utenti.

Una di quelle startup, BlueKai, che Oracle ha acquistato per poco più di $ 400 milioni nel 2014, è a malapena noto al di fuori dei circoli di marketing, ma conservava una delle più grandi banche dati di monitoraggio web al di fuori del governo federale.

BlueKai utilizza i cookie dei siti Web e altre tecnologie di tracciamento per seguirti sul Web. Conoscendo quali siti Web si visitano e quali e-mail si aprono, gli esperti di marketing possono utilizzare questa enorme quantità di dati di monitoraggio per dedurre quanto più possibile su di tutti noi - entrate, istruzione, opinioni politiche e interessi per citarne alcuni - al fine di indirizzarvi con annunci che dovrebbero corrispondere ai tuoi gusti apparenti. Se fai clic, gli inserzionisti guadagnano.

Ma per un po', quei dati di tracciamento web si sono diffusi su Internet apertamente perché un server era rimasto non protetto e senza password, esponendo miliardi di record che chiunque poteva trovare.

Il ricercatore di sicurezza Anurag Sen ha trovato il database e ha riferito la sua scoperta a Oracle attraverso un intermediario: Roi Carthy, amministratore delegato della società di sicurezza informatica Hudson Rock.

Esaminando i dati condivisi da Sen si trovano nel database nomi, indirizzi di casa, indirizzi e-mail e altri dati identificabili. I dati hanno anche rivelato l'attività di navigazione web degli utenti sensibili, dagli acquisti alle iscrizioni alle newsletter.

"Non si può davvero descrivere quanto possano rivelare alcuni di questi dati", ha detto Bennett Cyphers, un tecnologo del personale della Electronic Frontier Foundation.

"Oracle è a conoscenza del rapporto fatto da Roi Carthy di Hudson Rock relativo ad alcuni dischi BlueKai potenzialmente esposti su Internet", ha dichiarato il portavoce Oracle Deborah Hellinger. "Sebbene le informazioni iniziali fornite dal ricercatore non contengano informazioni sufficienti per identificare un sistema interessato, l'indagine di Oracle ha successivamente stabilito che due società non hanno configurato correttamente i propri servizi. Oracle ha adottato ulteriori misure per evitare il ripetersi di questo problema."

Oracle non ha dato il nome delle aziende né ha detto quali fossero tali misure aggiuntive e ha rifiutato di rispondere alle nostre domande o di commentare ulteriormente.

Ma la vastità del database esposto rende questo uno dei maggiori cali di sicurezza del 2020.

Cosa sa?

BlueKai fa affidamento sull'aspirazione di una fornitura infinita di dati da una varietà di fonti per comprendere le tendenze per fornire gli annunci più precisi agli interessi di una persona.

Gli esperti di marketing possono attingere all'enorme banca di dati di Oracle, che attinge da agenzie di credito, società di analisi e altre fonti di dati di consumo, tra cui miliardi di punti di dati di posizione giornalieri, al fine di indirizzare i propri annunci. Oppure gli esperti di marketing possono caricare i propri dati ottenuti direttamente dai consumatori, ad esempio le informazioni che consegni quando registri un account su un sito Web o quando ti iscrivi alla newsletter di un'azienda.

Ma BlueKai utilizza anche tattiche più segrete come consentire ai siti Web di incorporare immagini invisibili di dimensioni pixel per raccogliere informazioni su di te non appena apri la pagina: hardware, sistema operativo, browser e qualsiasi informazione sulla connessione di rete.

Questi dati, noti come "user agent" di un browser Web, potrebbero non sembrare sensibili, ma se fusi insieme possono creare una "impronta digitale" unica del dispositivo di una persona, che può essere utilizzata per tracciare quella persona mentre naviga in Internet.

BlueKai può anche legare le tue abitudini di navigazione sul Web mobile alle tue attività desktop, consentendoti di seguirti su Internet indipendentemente dal dispositivo che utilizzi.

Supponiamo che un operatore di marketing voglia eseguire una campagna cercando di vendere un nuovo modello di auto. Nel caso di BlueKai, ha già una categoria di "appassionati di auto" - e molte altre categorie più specifiche - che il marketer può utilizzare per targetizzare con le pubblicità. Chiunque abbia visitato il sito Web di un produttore di auto o un blog che include un pixel di tracciamento BlueKai potrebbe essere classificato come un "appassionato di auto". Nel corso del tempo, quella persona verrà inserita in diverse categorie sotto un profilo che impara così tanto di te da indirizzarti a quegli annunci.

La tecnologia è tutt'altro che perfetta. Harvard Business Review ha scoperto all'inizio di quest'anno che le informazioni raccolte dai broker di dati, come Oracle, possono variare notevolmente in termini di qualità.

Ma alcune di queste piattaforme si sono rivelate estremamente accurate.

Nel 2012, Target ha inviato coupon di maternità a una studentessa delle superiori dopo che un sistema di analisi interno aveva scoperto che era incinta - prima ancora che lo avesse detto ai suoi genitori - a causa dei dati raccolti dalla sua navigazione web.

Alcuni potrebbero obiettare che è esattamente ciò che questi sistemi sono progettati per fare.

Jonathan Mayer, professore di scienze all'Università di Princeton, ha dichiarato che BlueKai è uno dei sistemi leader per il collegamento dei dati.

"Se si dispone del browser per inviare un indirizzo e-mail e un cookie di tracciamento allo stesso tempo, è tutto ciò che serve per creare quel collegamento", ha detto.

L'obiettivo finale: più BlueKai raccoglie, più può dedurre su di te, rendendo più facile indirizzarti con annunci che potrebbero attirarti in quel clic magico per far guadagnare qualcuno.

Ma gli esperti di marketing non possono semplicemente accedere a BlueKai e scaricare file di informazioni personali dai propri server, ha detto un professionista del marketing. I dati vengono disinfettati e mascherati in modo tale che gli esperti di marketing non vedano mai nomi, indirizzi o altri dati personali.

Come spiegato da Mayer: BlueKai raccoglie dati personali; non li condivide con gli esperti di marketing.

'Non dire quanto sia rivelatore'

Dietro le quinte, BlueKai ingerisce e abbina continuamente il maggior numero possibile di dati personali non elaborati rispetto al profilo di ogni persona, arricchendo costantemente tali dati del profilo per assicurarsi che siano aggiornati e pertinenti.

Ma i dati grezzi si riversavano dal database esposto.

Un altro record ha rivelato come una delle più grandi società di partecipazione agli investimenti in Turchia abbia utilizzato BlueKai per tracciare gli utenti sul proprio sito Web. Il documento descriveva in dettaglio come una persona, che vive a Istanbul, ordinasse 899 dollari di mobili online da un negozio di articoli per la casa. Sappiamo perché il record conteneva tutti questi dettagli, incluso il nome dell'acquirente, l'indirizzo e-mail e l'indirizzo web diretto per l'ordine dell'acquirente, non è necessario il login.

I dati risalgono a mesi, secondo Sen, che ha scoperto il database. Alcuni registri risalgono ad agosto 2019, ha detto.

"I registri dettagliati delle abitudini di navigazione in rete delle persone possono rivelare hobby, affiliazione politica, fascia di reddito, condizioni di salute, preferenze sessuali e - come evidente qui - abitudini di gioco", hanno affermato i Cyphers di EFF. "Man mano che viviamo più della nostra vita online, questo tipo di dati rappresenta una parte sempre maggiore di come trascorriamo il nostro tempo."

Oracle ha rifiutato di dire se ha informato coloro i cui dati sono stati esposti in merito alla perdita di sicurezza. La compagnia ha anche rifiutato di dire se avesse avvertito gli regolatori statunitensi o internazionali dell'incidente.

Secondo la legge dello stato della California, le società come Oracle sono tenute a divulgare pubblicamente gli incidenti relativi alla sicurezza dei dati , ma Oracle non ha ancora dichiarato la scadenza. Una volta raggiunto, un portavoce dell'ufficio del procuratore generale della California ha rifiutato di dire se Oracle avesse informato l'ufficio dell'incidente.

Ai sensi del regolamento generale sulla protezione dei dati in Europa, le aziende possono rischiare multe fino al 4% del loro fatturato globale annuo per violazione delle norme sulla protezione e la divulgazione dei dati.

Tracker, tracker ovunque

BlueKai è ovunque, anche quando non riesci a vederlo.

Una stima afferma che BlueKai tiene traccia di oltre l'1% di tutto il traffico web - una quantità insondabile di raccolta di dati giornalieri - e traccia alcuni dei più grandi siti Web del mondo: Amazon, ESPN, Forbes, Glassdoor, Healthline, Levi's, MSN.com, Rotten Tomatoes e Il New York Times.

Ma BlueKai non è solo. Quasi ogni sito web che visiti contiene una qualche forma di codice di monitoraggio invisibile che ti osserva mentre attraversi Internet.

Per quanto invasivi siano i tracker invisibili che inviano i tuoi dati di navigazione web a un gigantesco database nel cloud, sono quegli stessi dati che hanno tenuto Internet in gran parte libero per così tanto tempo.

Per rimanere liberi, i siti Web utilizzano la pubblicità per generare entrate. Più mirata è la pubblicità, migliori dovrebbero essere le entrate.

Mentre la maggior parte degli utenti Web non è abbastanza ingenua da pensare che il monitoraggio di Internet non esista, pochi circoli di marketing esterni comprendono la quantità di dati raccolti e cosa ne viene fatto.

Ma ci sono pericoli nel raccogliere dati di tracciamento web su milioni di persone.

"Ogni volta che esistono database di questo tipo, c'è sempre il rischio che i dati finiscano nelle mani sbagliate e che possano danneggiare qualcuno", ha detto Cyphers.

Cyphers ha affermato che i dati, se nelle mani di qualcuno malintenzionato, potrebbero contribuire al furto di identità, al phishing o allo stalking.

"Rappresenta anche un obiettivo prezioso per le forze dell'ordine e le agenzie governative che vogliono fare affidamento sulla raccolta di dati che Oracle già fa", ha affermato.

Anche quando i dati rimangono dove sono destinati, Cyphers ha affermato che questi vasti database abilitano "la pubblicità manipolativa per cose come questioni politiche o servizi di sfruttamento, e consente ai professionisti del marketing di adattare i loro messaggi a specifiche popolazioni vulnerabili", ha affermato.

"Ognuno ha cose diverse che vuole mantenere private e persone diverse da cui voler essere private", ha detto Cyphers. "Quando le aziende raccolgono dati web non elaborati o acquistano dati, migliaia di piccoli dettagli sulla vita delle persone reali vengono raccolti lungo il percorso."

"Ognuno di quei piccoli dettagli ha il potenziale per mettere qualcuno a rischio", ha detto.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.