Dazu muss man mehrere Dinge berücksichtigen:
- BlueKai ist in der Online-Werbung tätig und trackt entsprechend seine Nutzer.
- Es waren Milliarden Datensätze online zugänglich.
- BlueKai ist eine Tochtergesellschaft von Oracle.
Jeder dieser Punkte wird im Folgenden genauer betrachtet.
Ein Datenleck im Bereich der Online-Werbung – Tracking-Informationen für alle
BlueKai ist auf Online-Werbung spezialisiert. Ziel von Online-Werbeunternehmen ist das umfangreiche Tracking von Nutzern, um deren Interessen besser kennenzulernen. Nur dadurch kann möglichst genau personalisierte Werbung ausgeliefert werden. Da der Umsatz und Gewinn eines Werbeunternehmens direkt davon abhängig sind, wie häufig eine Anzeige angeklickt wird, ist eine genaue Personalisierung für das Unternehmen natürlich wünschenswert.
Aber wie funktioniert dieses Tracking? Hier gibt es verschiedenste Techniken. Die vielleicht präsenteste davon sind Cookies. Mittlerweile sieht man auf jeder Webseite, auf der Werbung eingeblendet werden soll, Informationen zur Cookie-Nutzung. Da viele Nutzer und die Browser selbst die Anzahl der angenommenen Cookies mehr oder weniger stark einschränken können, gibt es auch weitere Möglichkeiten, z.B. JavaScript-Code oder eingebettete Bilder. Details zu diesen Techniken und Möglichkeiten zum Tracking sind in diesem Netzwerk Insider [3] im Detail beschrieben.
Werden all diese Tracking-Informationen öffentlich, bietet sich eine unglaubliche Fülle von Informationen. Darunter befinden sich unter anderem:
- Besuchte Websites
- Browser
- Betriebssystem
- Hardware-Informationen
Allein diese Informationen reichen, um weitreichende Auskünfte über den Nutzer einzuholen. Browser und Betriebssystem können Informationen darüber liefern, wann privat oder aus dem Büro auf die Webseiten zugegriffen wird – die Werbe-Netzwerke haben auch über Gerätegrenzen hinweg die Möglichkeit, Nutzer eindeutig zu identifizieren. Dazu kann schon eine Unterscheidung nach Browsern reichen!
Aber viel interessanter können die Informationen über die besuchten Webseiten sein. Denn auch bei der Nutzung des „Inkognito“-Modus eines Browsers ist eine Identifizierung des Nutzers weiterhin möglich. Dadurch lassen sich eventuell kompromittierende oder private Informationen sammeln, welche Kriminelle wieder für weitere Aktionen wie Erpressung, Identitätsdiebstahl oder Diffamierung nutzen können.
Insofern ist die Branche, in der BlueKai tätig ist, ein wichtiger Grund, warum dieses Datenleck ernstgenommen werden muss.
Die Anzahl der „veröffentlichten“ Datensätze
Nach momentanem Kenntnisstand waren Milliarden von Datensätzen einsehbar. Und das obwohl die Daten „nur“ bis zum August letzten Jahres zurückreichten! Damit ergibt sich eine Unmenge an Daten, die viele Millionen Nutzer betreffen kann. Zwar ist BlueKai in der Online-Werbebranche nicht so bekannt oder präsent wie DoubleClick, Google oder Facebook, aber nach eigenen Angaben verarbeitet BlueKai trotzdem mehr als ein Prozent des weltweiten Internet-Traffics. Das mag nicht nach viel klingen, aber die Menge der zugänglichen Daten zeigt eindrucksvoll, wie viel auch nur dieses eine Prozent ist! Zu den Kunden gehören unter anderem Amazon, Forbes, Levi’s und andere bekannte Firmen und Marken.
Die Anzahl der geleakten Daten ist also ebenfalls groß genug, um sich genauer mit dem Datenleck zu beschäftigen!
BlueKai als Tochter von Oracle
Oracle hat BlueKai im Jahr 2014 für ca. 400 Millionen US-Dollar übernommen, um ein Stück vom Tracking-Kuchen zu erhalten. Gerade wenn eine so große und bekannte Firma wie Oracle von einem Datenleck betroffen ist, wird man schnell hellhörig. Sollte eine Firma dieser Größe und mit dieser langjährigen Erfahrung im Bereich (sichere) Web-Applikationen es nicht besser wissen und daher keine offen zugängliche Datenbank nutzen?
Es zeigt sich wieder einmal, dass auch große Firmen nicht vor solchen Fehlern geschützt sind. Hier kann dies eher auf betriebliche oder prozessuale Ursachen zurückgeführt werden; zwar sind Prozesse eigentlich vorhanden, aber auf Grund mangelnder Erfahrung der beteiligten Entwickler oder Zeitmangel wurden diese nicht eingehalten.
Damit ist dieses Datenleck auch dadurch interessant, dass es ein IT- und Internet-Urgestein getroffen hat.
Sonstiges
Ebenfalls interessant: Obwohl europäische und sogar deutsche Nutzer betroffen waren, fand keine fristgerechte Meldung an die entsprechenden Aufsichtsbehörden statt, wie es die DSGVO vorschreibt. Ähnliche Meldepflichten gelten auch in Kalifornien und wurden dort ebenfalls nicht eingehalten. Welche Konsequenzen das haben wird, ist noch nicht bekannt.
Fazit
Selbst Firmen, die schon viele Jahre online aktiv sind und deren Kerngeschäft eigentlich die sichere Aufbewahrung von Daten ist, sind nicht vor einfachen Fehlern sicher, wie sie immer wieder öffentlich werden. Gerade falsch konfigurierte Online-Datenbanken sind sehr häufig. Um solche Fehler zu vermeiden, sollten solche Dienste bzw. Datenspeicher gut dokumentiert und regelmäßig kontrolliert werden. Das gilt umso mehr, wenn man solche Datenbanken und/oder darauf aufbauende Dienste an externe Dienstleister vergibt!
Verweise
[1] Heise Online, „Oracle: Datenpanne mit Milliarden Einträgen enthüllt riesiges Tracking-Netz“, https://www.heise.de/news/Oracle-Datenpanne-mit-Milliarden-Eintraegen-enthuellt-riesiges-Tracking-Netz-4790339.html
[2] TechCrunch, „Oracle’s BlueKai tracks you across the web. That data spilled online“, https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/
[3] C. Höchel-Winter, “Cookies, Benutzer-Tracking und DSGVO“, Netzwerk-Insider August 2020
