安全動(dòng)態(tài)

揭露“最大規(guī)模數(shù)據(jù)泄露”?上網(wǎng)記錄和位置每天被分享七百次

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-05-20    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


近日,愛(ài)爾蘭公民自由委員會(huì)(Irish Council for Civil Liberties,ICCL)公布了一份報(bào)告,對(duì)其認(rèn)定的一起“史上最大規(guī)模數(shù)據(jù)泄露事件”進(jìn)行了披露。

報(bào)告顯示,如谷歌、微軟等公司會(huì)利用實(shí)時(shí)競(jìng)價(jià)系統(tǒng)將用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息提供給廣告商,美國(guó)用戶每天被分享747次,歐洲用戶376次。谷歌回應(yīng)稱,其一直對(duì)與廣告商共享用戶數(shù)據(jù)進(jìn)行嚴(yán)格限制,并要求在投放個(gè)性化廣告前取得用戶同意。

何為實(shí)時(shí)競(jìng)價(jià)系統(tǒng)(簡(jiǎn)稱RTB)?公開(kāi)資料顯示,RTB是一種利用第三方技術(shù),在數(shù)以百萬(wàn)計(jì)的網(wǎng)站上針對(duì)每一個(gè)用戶展示行為進(jìn)行評(píng)估以及出價(jià)的競(jìng)價(jià)技術(shù)。簡(jiǎn)而言之,可理解為讓廣告商通過(guò)瀏覽記錄和地理位置信息來(lái)鎖定潛在用戶并針對(duì)目標(biāo)廣告位進(jìn)行出價(jià)的過(guò)程,目的是為了實(shí)現(xiàn)精準(zhǔn)營(yíng)銷。

根據(jù)ICCL發(fā)布的報(bào)告,谷歌、微軟等公司使用RTB系統(tǒng)實(shí)時(shí)追蹤并分享用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息給廣告商,以便廣告商選擇有潛在用戶瀏覽的網(wǎng)頁(yè)精準(zhǔn)投放廣告。在美國(guó)其每天分享上述用戶信息2940億次,平均每人被曝光747次;在歐洲每天分享1970億次,平均每人被曝光376次,并且“沒(méi)有任何辦法可以控制這些數(shù)據(jù)的用途”。

用戶數(shù)據(jù)的被分享次數(shù)在不同地區(qū)或國(guó)家也有所差別。具體而言,美國(guó)科羅拉多州的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)987次,加利福尼亞州為804次,華盛頓哥倫比亞特區(qū)則為486次。在歐洲,英國(guó)的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)462次。

報(bào)告指出,美國(guó)網(wǎng)絡(luò)用戶被分享網(wǎng)絡(luò)瀏覽記錄和位置信息的頻率比歐洲用戶高57%。有觀點(diǎn)推測(cè),該情況與美國(guó)和歐洲的隱私法規(guī)差異較大有關(guān),在規(guī)定嚴(yán)格而全面的數(shù)據(jù)保護(hù)框架《通用數(shù)據(jù)保護(hù)條例》(GDPR)的“保駕護(hù)航”下,歐洲監(jiān)管機(jī)構(gòu)多年來(lái)一直針對(duì)濫用的廣告技術(shù)采取措施。

報(bào)告推測(cè),總體而言,美國(guó)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)瀏覽記錄和位置信息每年被追蹤和共享107萬(wàn)億次,歐洲每年為71萬(wàn)億次,并稱這些用戶數(shù)據(jù)會(huì)被發(fā)送至全球各地的公司。值得一提的是,報(bào)告強(qiáng)調(diào)上述數(shù)據(jù)都十分保守,因?yàn)榇舜蜪CCL僅選擇了在線廣告生態(tài)系統(tǒng)的“巨頭”之一谷歌參與統(tǒng)計(jì),并未關(guān)注臉書和亞馬遜。

報(bào)告指出,谷歌是最大限度利用RTB系統(tǒng)的“罪魁禍?zhǔn)住保湎蚋哌_(dá)4698家公司提供美國(guó)用戶的相關(guān)數(shù)據(jù),向1058家公司提供歐洲用戶的相關(guān)數(shù)據(jù),而微軟可向1647家公司提供。由于這些用戶數(shù)據(jù)是通過(guò)互聯(lián)網(wǎng)傳播的,它們還面臨著被“非官方合作伙伴”攔截和利用的風(fēng)險(xiǎn)。

事實(shí)上,這并非RTB系統(tǒng)的信息安全問(wèn)題首次引發(fā)關(guān)注。2019年5月,在收到用戶針對(duì)谷歌RTB系統(tǒng)的隱私投訴后,愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)(DPC)對(duì)谷歌展開(kāi)法定調(diào)查,試圖確定其對(duì)用戶個(gè)人數(shù)據(jù)的處理是否適當(dāng),然而該調(diào)查至今沒(méi)有結(jié)果。

因此,今年3月,ICCL的資深研究員約翰尼·瑞安(Johnny Ryan)將DPC告上了法庭,理由是其未能對(duì)谷歌的大規(guī)模數(shù)據(jù)泄露行為采取行動(dòng),目前愛(ài)爾蘭高等法院已同意進(jìn)行審理。同時(shí),他還向歐盟監(jiān)察專員投訴,稱歐盟委員會(huì)(European Commission)未能妥善監(jiān)督GDPR的實(shí)施。

ICCL始終認(rèn)為RTB本質(zhì)上是不安全的——通過(guò)在互聯(lián)網(wǎng)上與成千上萬(wàn)的廣告商進(jìn)行大規(guī)模的用戶個(gè)人數(shù)據(jù)交易來(lái)實(shí)現(xiàn)廣告的精準(zhǔn)投放,這種做法風(fēng)險(xiǎn)很大,個(gè)人信息無(wú)法得到充分保護(hù)。因此,ICCL將此定義為“史上最大規(guī)模的數(shù)據(jù)泄露”。

據(jù)悉,針對(duì)該報(bào)告,谷歌發(fā)言人作出了回應(yīng),稱其在使用RTB系統(tǒng)時(shí)采取了行業(yè)領(lǐng)先的保護(hù)措施,并對(duì)與廣告商共享用戶數(shù)據(jù)進(jìn)行了嚴(yán)格限制。“我們不會(huì)分享個(gè)人身份信息,也不會(huì)展示基于健康、種族或宗教等敏感信息而投放的廣告,多年來(lái)我們一直要求廣告商在展示任何個(gè)性化廣告之前取得用戶的同意?!绷硗猓④浄矫鎰t拒絕對(duì)此置評(píng)。


 
 

上一篇:北京市通管局:關(guān)于開(kāi)展2022年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全檢查的通知

下一篇:2022年5月20日聚銘安全速遞