Schon seit einiger Zeit sollen die Daten aufgrund eines ungeschützten Servers für jeden frei zugänglich gewesen sein. Diese Tracking-Daten beinhalten sowohl personenbezogene Informationen wie Namen, E-Mail-Adressen und vollständige Anschriften als auch weitreichendes Nutzerverhalten von Newsletter-Anmeldungen bis hin zu Online-Käufen. Die Aufzeichnungen können unter anderem Aufschluss über das Einkommen, die politische Einstellung, sexuelle Vorlieben, individuelle Hobbys und vieles mehr einer Person geben. Der Sicherheitsforscher Anurag Sen entdeckte die Tracking-Datenbank und somit auch die erhebliche Sicherheitslücke online. Er meldete seinen Fund an Oracle. Die Schwachstelle sei mittlerweile laut Aussage des Unternehmens behoben worden.
So ließ sich beispielsweise detailliert nachverfolgen, wie ein Mann aus Deutschland am 19. April 2020 eine Kreditkarte benutzt hatte, um auf einer E-Sports-Website zehn Euro zu wetten. Die Postanschrift, Telefonnummer und E-Mail-Adresse des Mannes waren ebenfalls dort zu finden. Solche Aufzeichnungen gingen laut Anurag Sen teilweise sogar bis August 2019 zurück.
Das US-amerikanische Magazin TechCrunch bezeichnete die Datenpanne aufgrund der Anzahl und Größe der Daten als „bisher größte Sicherheitslücke in diesem Jahr“. Oracle hat sich noch nicht dazu geäußert, ob betroffene Kunden informiert beziehungsweise der Vorfall an die zuständigen Aufsichtsbehörden gemeldet wurde. Nach kalifornischem Recht und der Datenschutzgrundverordnung (DSGVO) hätte das Unternehmen den Leak innerhalb kürzester Zeit öffentlich bekanntgeben müssen.
Den Großteil der Daten hatte Oracle mit seiner Tochterfirma BlueKai zusammengetragen. Oracle hatte BlueKai im Jahr 2014 für knapp 400 Millionen US-Dollar gekauft. Die Marketing-Firma macht sich Cookies und Tracking-Technologien zunutze, um Benutzerverhalten zu verfolgen. Branchenexperten zufolge überwacht BlueKai rund 1,2 Prozent des gesamten Datenverkehrs im Web und arbeitet mit Betreibern von Websites wie Amazon, Forbes, ESPN und der New York Times zusammen.
Quellen:
Riesiges Tracking-Daten-Leck bei Oracle
Von Oracles Tochterfirma BlueKai gesammelte, persönliche Tracking-Informationen von Milliarden von Benutzern waren offen für jeden im Netz abrufbar.
