Facebook: “Nanotargeting” per gli utenti basati esclusivamente sui loro interessi percepiti
I ricercatori hanno sviluppato un metodo per fornire una campagna pubblicitaria di Facebook a una sola persona su 1,5 miliardi, basata solo sugli interessi dell’utente e non su informazioni di identificazione personale (PII), come indirizzi e-mail, numeri di telefono o posizione geografica in genere associati agli scandali “mirati” degli ultimi anni.
Gli utenti hanno un controllo limitato su questi interessi, che sono determinati algoritmicamente in base alle abitudini di navigazione, ai “mi piace” e ad altre forme di interazione che Facebook è in grado di identificare e che sono inclusi nei criteri per la pubblicazione di un annuncio di Facebook.
Poiché gli interessi sono associati agli utenti di Facebook in base al contenuto che pubblicano e con cui interagiscono, gli utenti possono essere presi di mira individualmente senza mai dichiarare esplicitamente quali sono i loro interessi in nessuno dei contenuti che pubblicano e in opposizione a quasi tutte le misure attuali che potrebbero adottare per proteggersi dal targeting pubblicitario iper-specifico.
La ricerca suggerisce anche che il “nanotargeting” degli utenti in questo modo non è solo economico, ma occasionalmente è gratuito , dal momento che Facebook spesso non addebita un inserzionista per una campagna poco servita (cioè una campagna che ha raggiunto solo una persona).
Nel 2018 uno studio di AdNews ha stabilito che in media Facebook assegna algoritmicamente 357 interessi per utente, di cui 134 sono stati valutati come “accurati”.
Tassi di interesse elevati
Gli autori del nuovo documento hanno testato le sue ipotesi su se stessi, creando una campagna pubblicitaria su Facebook progettata per “nanotarget” gli autori su un pubblico potenziale di 1,5 miliardi di utenti di Facebook, sulla base di una serie casuale di interessi target; gli annunci sono stati consegnati con successo ed esclusivamente ai target in cui sono stati considerati i numeri più alti degli interessi scelti casualmente (vedi tabella dei risultati verso la fine dell’articolo).
I ricercatori stimano che un individuo possa essere identificato e preso di mira, in base solo ai suoi interessi, con una precisione del 90%, sebbene il numero di interessi necessari vari a seconda di quanto siano comuni gli interessi:
“I nostri risultati indicano che i 4 interessi [di Facebook] più rari di un utente li rendono unici nella base di utenti menzionata con una probabilità del 90%. Se invece consideriamo una selezione casuale di interessi, allora sarebbero necessari 22 interessi per rendere unico un utente con una probabilità del 90%.’
Gli autori suggeriscono che questo approccio al targeting da cecchino di un pubblico di utenti Facebook presumibilmente generalizzato o semi-anonimo è solo “la punta dell’iceberg” in termini di utilizzo di dati non PII per annullare gli sforzi e le iniziative recenti per proteggere la privacy degli utenti sulla scia di Cambridge Analytica.
Il documento , intitolato Unique on Facebook: Formulation and Evidence of (Nano)targeting Individual Users with non-PII Data , è una collaborazione tra tre ricercatori dell’Universidad Carlos de III di Madrid, insieme a un data scientist di GTD System & Software Engineering e professore all’Università di tecnologia di Graz in Austria.
Metodologia
La ricerca è stata intrapresa su un set di dati raccolto nel gennaio 2017. L’anno successivo, Facebook ha aumentato la dimensione minima della folla di copertura potenziale per una campagna pubblicitaria da 20 a 1000, ma i ricercatori notano che ciò non impedisce agli inserzionisti di prendere di mira gruppi di meno di 1000 , ma solo conoscendo la dimensione effettiva del pubblico di destinazione ottenuto.
I ricercatori notano anche che il lavoro precedente ha dimostrato che il limite di 1000 utenti può essere effettivamente ridotto a un minimo di 100 e che 100 utenti è il gruppo target più piccolo disponibile per coloro che desiderano riprodurre il lavoro.
Tuttavia, da quando è stato compilato il set di dati, Facebook ha aggiunto “Whole world” come potenziale bacino di utenza per la campagna, il che significa che i ricercatori hanno dimostrato la loro ipotesi sotto ulteriori restrizioni che non esistono più (hanno dovuto invece inviare una posizione target filtrata compresi i 50 paesi in cui Facebook ha la maggiore presenza di utenti, con un pubblico potenziale di 1,5 miliardi di utenti).
Dati
I dati sono stati ottenuti da un corpo di 2.390 utenti Facebook autentici che avevano installato l’ estensione del browser FDVT degli autori (vedi immagine sotto e video alla fine dell’articolo) prima di gennaio 2017, tutti volontari. L’estensione fornisce agli utenti una stima in tempo reale delle entrate che la loro navigazione genera per Facebook, sulla base delle PII e dei dati demografici che i volontari accettano di condividere con i ricercatori.
L’estensione del browser FDVT fornita dai ricercatori fornisce all’utente Facebook che ha effettuato l’accesso un flusso di informazioni sugli aspetti della privacy e della redditività (per Facebook) delle attività di navigazione dell’utente. Fonte: https://www.youtube.com/watch?v=Gb6mwJqHhCI
I ricercatori hanno ottenuto 1,5 milioni di punti dati da 99.000 interessi unici di Facebook associati ai partecipanti, che avevano una mediana di 426 interessi registrati.
I ricercatori hanno quindi calcolato una formula per stabilire il numero minimo di interessi necessari per eseguire il nanotargeting su un individuo, stabilendo che sono necessari solo 4 interessi “marginali” e che una probabilità di attacco aumenta man mano che gli interessi diventano più specializzati e meno rappresentativi di un interesse generale. tendenze.
Per gli “interessi casuali” – interessi estratti arbitrariamente dal pool di tutte le categorie di interessi disponibili – la formula ha stimato che ” 12, 18, 22 e 27 interessi casuali rendono un utente unico su FB con una probabilità del 50%, 80%, 90 % e 95%, rispettivamente’ .
Test di nanotargeting
Gli autori hanno creato campagne pubblicitarie mirate mirate a se stessi utilizzando insiemi casuali di interessi assegnati dall’interfaccia degli annunci di Facebook. Sebbene si sarebbero potuti ottenere risultati più precisi impostando interessi “marginali”, gli autori hanno preferito dimostrare l’ampia applicabilità della teoria, piuttosto che “barare” digitando interessi iperspecifici.
Nell’angolo in basso a destra, il numero di interessi che alimentano l’annuncio viene visualizzato all’interno dell’interfaccia FDVT.
Utilizzando diversi criteri, incluse le istantanee del messaggio “Perché vedo questo annuncio?” avviso incluso con gli annunci di Facebook, gli autori hanno stabilito criteri per il successo in termini di pubblicazione di un annuncio esclusivamente basato sui loro interessi. ‘Fallimento’ è stato definito dai casi in cui l’annuncio è stato mostrato non solo all’autore, ma anche ad altri lettori.
Nove delle 21 campagne eseguite, con un numero variabile di interessi come criteri di destinazione, hanno “monotargettato” con successo il destinatario previsto dell’annuncio, con un successo crescente in base al numero di interessi identificati (e ricordando che gli interessi “casuali” sono stati utilizzati per ottenere questi risultati, non interessi creati e specifici dell’utente).
Risultati dell’esperimento di nanotargeting per i tre autori che hanno contribuito all’articolo, i quali hanno ricevuto esclusivamente almeno due annunci con nanotargeting. Le impressioni multiple per un nanotargeting di successo sono il risultato della visualizzazione dell’annuncio più volte al target delle impressioni sulla pagina e non un’indicazione che qualcun altro ha visto l’annuncio.
Gli autori riconoscono che l’alto costo delle campagne pubblicitarie manipolative di Facebook potrebbe rendere questo tipo di attacco non fattibile. Tuttavia, risulta che il costo è stato minimo:
“Purtroppo, i risultati estratti da [Facebook] Ad Campaign Manager [dimostrano] che il nanotargeting di un utente è piuttosto economico. In effetti, il costo complessivo delle 9 campagne di nanotargeting di successo è stato di soli 0,12 €. Sorprendentemente, [Facebook] non ci ha addebitato nulla in tre delle campagne di nanotargeting di successo che hanno fornito solo 1 impressione dell’annuncio all’utente target.
“Pertanto, piuttosto che un fattore scoraggiante, il costo estremamente basso del nanotargeting può incoraggiare gli aggressori a sfruttare questa pratica.”
Eludere le “protezioni” di Facebook
Il documento rileva che i servizi pubblicitari di Facebook hanno “dimensioni minime dell’elenco” che un utente può scegliere come target, rendendo tecnicamente impossibile caricare un individuo specifico come obiettivo della campagna pubblicitaria. Tuttavia, gli autori osservano che queste restrizioni sono ingenuamente banali da aggirare.
Ad esempio, osserva il rapporto, un CEO ha riferito nel 2017 come è stato in grado di rubare un potenziale membro dello staff di un’altra azienda orchestrando una campagna Facebook progettata solo per raggiungere quell’individuo target, un maschio. Ciò ha comportato la soddisfazione dei criteri minimi (30) di Facebook caricando un elenco di ventinove femmine e un maschio (il target), quindi selezionando “Maschio” come criterio di consegna.
Il documento sostiene che le restrizioni di Facebook, sebbene successivamente aggiornate, siano applicate in modo imperfetto e incoerenti. Mentre i risultati di un precedente documento hanno costretto il gigante dei social media a non consentire la configurazione di un pubblico inferiore a 20 nel suo Ads Campaign Manager, gli autori contestano l’efficacia del cambiamento di politica, affermando che “La nostra ricerca mostra che questo limite non viene attualmente applicato ‘ .
Impressioni false
Oltre al generale contraccolpo culturale dello scandalo Cambridge Analytica, che ha incitato al cambiamento riluttante da giganti della pubblicità come Google, il nanotargeting degli annunci pubblicitari mina il senso comune che la cultura pubblicitaria è cultura “generale”, condivisa, se non da tutti, almeno da un ampio gruppo demografico o geografico.
Gli autori del documento sottolineano una serie di casi in cui il nanotargeting è stato utilizzato in modo ingannevole, incluso il momento in cui nel 2017 il politico laburista britannico Jeremy Corbyn, allora leader del partito di opposizione del governo, ha decretato che i laburisti dovrebbero lanciare una campagna pubblicitaria su Facebook per incoraggiare gli elettori registrazione.
I capi del partito laburista disapprovavano l’idea, ma piuttosto che entrare in conflitto, hanno semplicemente implementato una campagna pubblicitaria da £ 5000 progettata per colpire solo Corbyn e i suoi associati, nonché un numero selezionato di giornalisti simpatizzanti. Nessun altro ha visto quegli annunci.
Gli autori affermano:
‘[Nanotargeting] può essere efficacemente utilizzato per manipolare un utente per convincerlo ad acquistare un prodotto o per convincerlo a cambiare idea su un particolare problema. Inoltre, il nanotargeting potrebbe essere utilizzato per creare una falsa percezione in cui l’utente è esposto a una realtà diversa da quella che vede il resto degli utenti (come è successo nel caso di Corbyn). Infine, il nanotargeting potrebbe essere sfruttato per implementare alcune altre pratiche dannose come il ricatto.’
Concludono:
‘Infine, vale la pena notare che il nostro lavoro ha rivelato solo la punta dell’iceberg su come i dati non PII possono essere utilizzati per scopi di nanotargeting. Il nostro lavoro si basa esclusivamente sugli interessi degli utenti, ma un inserzionista può utilizzare altri parametri socio-demografici disponibili per configurare il pubblico in [Facebook] Ads Manager come la posizione di casa (paese, città, codice postale, ecc.), il posto di lavoro, l’università , numero di bambini, dispositivo mobile utilizzato (iOS, Android), ecc., per restringere rapidamente la dimensione del pubblico in modo da effettuare un nanotargeting di un utente.’
