Oracle: Datenpanne deckt riesiges Tracking-Netz auf
Der Soft- und Hardware-Konzern Oracle hat Milliarden personenbezogener Datensätze von Internetnutzern auf einem ungesicherten System gelagert. Nicht einmal ein Passwort war nötig, um die Informationen einzusehen.
Die Daten zeigen, wie umfangreich das Tracking-Netzwerk von Oracles Tochterfirma BlueKai Daten sammelt, um die Aktivitäten von Internetnutzern aus aller Welt zu überwachen, zu speichern und zu Profilen zu kombinieren.
Auch Internetnutzer in Deutschland betroffen
Entdeckt wurde das nicht abgesicherte System von dem Sicherheitsforscher Anurang Sen. In der Datenbank befinden sich laut der IT-Nachrichtenseite TechCrunch Namen, Adressen, E-Mail-Adressen und andere “identifizierende Daten”. Außerdem beinhaltet sie Informationen über das Surfverhalten von Internetnutzern, unter anderem Einkäufe inklusive der gekauften Waren und Newsletter-Abonnements.
So habe beispielsweise ein mit Adresse und Telefonnummer genannter männlicher Deutscher am 19. April eine Prepaid-Karte benutzt, um 10 Euro auf einen E-Sport-Wettkampf zu wetten. Eine andere erfasste Person bestellte einen Technik-Newsletter ab und war an einem bestimmten Auto-Dashcam-Modell interessiert. Das iPhone dieser Person lief nicht mehr mit der aktuellen iOS-Version und benötigte ein Update.
Die Daten reichen zurück bis zum August 2019. Gegenüber TechCrunch urteilte Bennett Cyphers von der Bürgerrechtsorganisation Electronic Frontier Foundation: “Man kann gar nicht sagen, wie enthüllend diese Daten sein können.”
Daten für den Datenmarktplatz
Die Datenbank gehört zur Oracle-Tochterfirma BlueKai. Laut des Tracking-Beobachters whotracks.me erfasst das Unternehmen 1,2 Prozent des weltweiten Internetverkehrs. Auch wenn das nicht wenig ist, liegt BlueKai damit weit hinter den Marktführern Google und Facebook (>40 Prozent). Die gesammelten Daten dienen dazu, Marketing-Kampagnen genauer auf Zielgruppen zuzuschneiden und Nutzer besser analysieren zu können. Unter anderem geht es um die gezielte Auslieferung von Werbebannern auf Webseiten.
Das Unternehmen stellt seine Dienste und Daten auch anderen Firmen über einen “Datenmarktplatz” zur Verfügung. Oracle kaufte BlueKai im Jahr 2014 für über 400 Millionen US-Dollar. Die Firma galt damals als einer der größten kommerziellen Sammler von Internetnutzungsdaten. Kunden sind unter anderem Facebook, Twitter, Huffingtonpost.com, Ebay und Microsoft.
Behörden informiert?
Der Forscher gab an, direkt nach Entdeckung des Datenlecks Oracle informiert zu haben. Der Konzern sicherte daraufhin die Datenbank ab und gab an, dass zwei die Datenbank betreibende Firmen die Systeme nicht korrekt konfiguriert hätten. Namen oder Details nannte Oracle nicht.
Sowohl nach kalifornischem Recht – Oracle ist im Silicon Valley ansässig – als auch nach der europäischen Datenschutz-Grundverordnung (DSGVO) müsste Oracle den Fall innerhalb einer kurzen Frist an die Aufsichtsbehörden melden. Laut TechCrunch wollte die Firma aber keine Aussage dazu treffen, ob sie dieser Pflicht nachgekommen ist. Nach EU-Recht drohen bei Versäumnis Geldbußen von bis zu 4 Prozent des Jahresumsatzes. Auch wollte Oracle nicht angeben, ob die betroffenen Nutzer informiert wurden.
TechCrunch spricht von einer der “größten Sicherheitslücken in diesem Jahr”. (hcz)