Oracle biedt bedrijven een uitgebreid trackingplatform om internetgebruikers op het web en over meerdere apparaten te volgen, maar door een onbeveiligde database waren miljarden records met browsegegevens van een onbekend aantal internetgebruikers voor iedereen op internet toegankelijk, aldus TechCrunch.

Zo werd een record gevonden met de naam, adresgegevens, telefoonnummer en e-mailadres van een Duitse man die met een prepaidkaart op 19 april op een goksite een gokje waagde. Een ander record bevatte de naam, adresgegevens en andere data van iemand uit Istanboel die voor 899 euro aan meubilair bij een online warenhuis had besteld.

Een derde record laat zien hoe iemand zich afmeldt voor een nieuwsbrief dat naar zijn iCloud-adres werd gestuurd. Volgens de gegevens is deze persoon geïnteresseerd in een bepaald dashcammodel en blijkt uit de verzamelde user agent dat zijn iPhone niet de laatste versie draait. Sommige bestanden in de database dateerden van augustus 2019, aldus de onderzoeker die het datalek ontdekte.

Alle gegevens in de database bleken te zijn verzameld via een trackingplatform genaamd Oracle Data Management Platform, dat voorheen als BlueKai bekend stond. Bedrijven kunnen trackingpixels aan hun websites en nieuwsbrieven toevoegen die allerlei data over de gebruiker vastleggen. Deze data, zoals e-mailadressen en trackingcookies, wordt vervolgens naar het trackingplatform gestuurd, dat de verzamelde persoonlijke data aan data van trackingcookies koppelt. Op deze manier wordt er een uitgebreid profiel van de gebruiker aangelegd, dat adverteerders weer voor gerichte advertenties kunnen gebruiken. Het platform is ook in staat om gebruikers over meerdere apparaten te volgen.

Volgens één schatting wordt 1,2 procent van al het webverkeer via Oracles platform getrackt en bevatten bijna 700 van de 10.000 populairste websites op internet een BlueKai-tracker. Alle data die het platform ontvangt wordt in databases opgeslagen en gebruikt om profielen van gebruikers verder te "verrijken". Het was deze onbewerkte datastroom die via een database voor iedereen zonder wachtwoord toegankelijk was .

Oracle laat in een reactie weten dat twee bedrijven hun services niet goed hadden geconfigureerd. De namen van deze twee bedrijven zijn niet bekendgemaakt, maar Oracle stelt dat er aanvullende maatregelen zijn genomen om herhaling te voorkomen. Verdere details over het incident zijn niet gegeven. Ook laat Oracle niet weten of het de personen van wie de data is gelekt of toezichthouders heeft ingelicht.