6月19日にTechCrunchのZach Whittakerが報じたところによると、オラクルは各国のインターネット利用者の数十億件に及ぶデータを、セキュリティが脆弱なサーバでパスワードをかけずに保管していたという。
オラクルは近年、アドテクノロジー分野に盛んな投資を行っており、2014年にスタートアップ企業BlueKaiを4億ドル(約427億円)を超える金額で買収していた。
オラクルのアプリケーション開発部門のSteve Mirandaは、BlueKaiを同社のマーケティングクラウドに組み入れることで、マーケッターが既存顧客や新規顧客に正確で、パーソナライズされたターゲティング広告を打てるようになると説明していた。
BlueKaiは、世界のネットユーザーの行動をクッキーや、特許取得済み技術を用いて追跡していた。これにより、各個人が閲覧したサイトや開封したEメールの特定が可能になっており、収入や政治的信条を含む多様な個人データが入手可能だった。
集めたデータは使用者のデバイスに紐づく、ユニークなフィンガープリントに統合されていた。このフィンガープリントは、その他のデバイスとも紐付け可能だった。一部の試算では、BlueKaiは全ネットのトラフィックの1.2%を追跡していたとされる。
TechCrunchの記事によると、セキュリティ企業Hudson RockのCEOのRoi Carthyが、データがセキュリティが脆弱なサーバにパスワードをかけずに保管されていることを、オラクルに伝えたという。
その後、オラクルの広報担当のDeborah Hellingerは、調査の結果、2社のサービスが不適切なオペレーションを行っていることを発見し、このような事態の再発を防ぐための措置を講じたと述べた模様だ。しかし、オラクルはその2社の社名を開示せず、具体的にどのような対策をとったのかを明かしていない。
今年最大規模の情報流出の可能性
TechCrunchは、データが露出した複数の事例を挙げている。その1つは、4月19日にプリペイドカードを用いて、eスポーツサイトに10ユーロの掛け金を支払ったドイツ人男性の例だ。男性のデータには住所や電話番号、Eメールアドレスが含まれていた。
もう1つの事例としては、トルコ最大の投資企業の1社が、BlueKaiを用いてユーザーのウェブ閲覧を追跡していたことを示すデータが、サーバに放置されていたことが挙げられた。データにはイスタンブール在住の人物が、サイト経由で899ドル相当の家具を購入した履歴が含まれていた。また、氏名やEメールアドレス、サイトのURLなどのデータもアクセス可能だったという。
今回の件は、データのボリュームから考えて、2020年に入ってから最大規模のセキュリティ関連のインシデントと考えられるが、データがどのような人々の手に渡ったかは定かではない。