Facebook: ‘Nanotargeting’ von Nutzern ausschließlich basierend auf ihren wahrgenommenen Interessen

Forscher haben eine Methode entwickelt, um eine Facebook-Werbeaktion an nur eine Person aus 1,5 Milliarden zu liefern, basierend nur auf den Interessen des Nutzers und nicht auf personenbezogenen Informationen (PII), wie E-Mail-Adressen, Telefonnummern oder geografischen Standorten, die normalerweise mit “Targeting”-Skandalen der letzten Jahre in Verbindung gebracht werden.

Nutzer haben nur begrenzte Kontrolle über diese Interessen, die algorithmisch basierend auf Browserverlauf, “Likes” und anderen Formen der Interaktion bestimmt werden, die Facebook identifizieren kann, und die in den Kriterien für die Anzeige einer Facebook-Anzeige enthalten sind.

Da Interessen mit Facebook-Nutzern basierend auf dem Inhalt verknüpft sind, den sie posten und mit dem sie interagieren, können Nutzer individuell targetiert werden, ohne jemals explizit zu erklären, was ihre Interessen sind, in keiner der Inhalte, die sie posten, und im Widerspruch zu fast allen aktuellen Maßnahmen, die sie unternehmen könnten, um sich vor hyper-spezifischer Ad-Targeting zu schützen.

Die Forschung legt auch nahe, dass das “Nanotargeting” von Nutzern auf diese Weise nicht nur billig, sondern gelegentlich sogar kostenlos ist, da Facebook normalerweise nicht berechnet, wenn eine Werbekampagne nicht ausgeliefert wird (d. h. eine Kampagne, die nur eine Person erreicht).

Im Jahr 2018 stellte eine AdNews-Studie fest, dass Facebook algorithmisch im Durchschnitt 357 Interessen pro Nutzer zuweist, von denen 134 als “genau” bewertet wurden.

Hohe Interessenraten

Die Autoren des neuen Papiers testeten ihre Annahmen an sich selbst, indem sie eine Facebook-Werbeaktion erstellten, die darauf abzielte, die Autoren aus einer potenziellen Zielgruppe von 1,5 Milliarden Facebook-Nutzern zu “nanotargeten”, basierend auf einer zufälligen Auswahl von Zielinteressen; die Anzeigen wurden erfolgreich und exklusiv an die Zielgruppe ausgeliefert, wenn höhere Zahlen der zufällig gewählten Interessen berücksichtigt wurden (siehe Ergebnistabelle am Ende des Artikels).

Die Forscher schätzen, dass ein Individuum basierend nur auf seinen Interessen mit 90% Genauigkeit identifiziert und targetiert werden kann, obwohl die Anzahl der benötigten Interessen je nach Häufigkeit der Interessen variiert:

‘Unsere Ergebnisse zeigen, dass die 4 seltensten [Facebook]-Interessen eines Nutzers ihn in der erwähnten Nutzerbasis mit einer Wahrscheinlichkeit von 90% eindeutig machen. Wenn wir stattdessen eine zufällige Auswahl von Interessen betrachten, dann wären 22 Interessen erforderlich, um einen Nutzer mit einer Wahrscheinlichkeit von 90% eindeutig zu machen.’

Die Autoren sind der Meinung, dass dieser Ansatz für das gezielte Targeting von vermeintlich allgemeinen oder semi-anonymen Facebook-Nutzergruppen nur “die Spitze des Eisbergs” ist, wenn es darum geht, nicht-PII-Daten zu verwenden, um jüngste Bemühungen und Initiativen zur Schutz der Nutzerprivatsphäre im Zuge von Cambridge Analytica rückgängig zu machen.

Das Papier, betitelt Einzigartig auf Facebook: Formulierung und Beweis von (Nano-)Targeting von einzelnen Nutzern mit nicht-PII-Daten, ist eine Zusammenarbeit zwischen drei Forschern der Universidad Carlos de III in Madrid, zusammen mit einem Data-Scientist von GTD System & Software Engineering und einem Professor an der Grazer Universität für Technologie in Österreich.

Methodik

Die Forschung wurde auf einer im Januar 2017 gesammelten Datensammlung durchgeführt. Im folgenden Jahr erhöhte Facebook die Mindestgröße der Zielgruppe für eine Werbekampagne von 20 auf 1000, aber die Forscher bemerken, dass dies Werbetreibende nicht daran hindert, Gruppen von weniger als 1000 zu targeten, sondern nur daran, die tatsächliche Größe der Zielgruppe zu kennen.

Die Forscher bemerken auch, dass frühere Arbeiten gezeigt haben, dass die 1000-Nutzer-Grenze effektiv auf bis zu 100 herabgesetzt werden kann, und dass 100 Nutzer die kleinste Zielgruppe ist, die für diejenigen verfügbar ist, die die Arbeit reproduzieren möchten.

Allerdings haben die Forscher ihre Hypothese unter zusätzlichen Einschränkungen bewiesen, die nicht mehr existieren (sie mussten stattdessen ein gefiltertes Ziel auswählen, das die 50 Länder umfasst, in denen Facebook die größte Nutzerbasis hat, was zu einer potenziellen Zielgruppe von 1,5 Milliarden Nutzern führte).

Daten

Die Daten stammen von 2.390 echten Facebook-Nutzern, die die FDVT-Browser-Erweiterung der Autoren vor Januar 2017 installiert hatten, alle Freiwillige. Die Erweiterung bietet Nutzern eine Echtzeit-Schätzung der Einnahmen, die ihre Browser-Aktivitäten für Facebook generieren, basierend auf PII und demografischen Daten, die die Freiwilligen mit den Forschern teilen.

Die FDVT-Browser-Erweiterung der Forscher gibt dem angemeldeten Facebook-Nutzer einen Datenstrom über die Privatsphäre und Profitabilität (für Facebook) seiner Browser-Aktivitäten. Quelle: https://www.youtube.com/watch?v=Gb6mwJqHhCI

Die Forscher erhielten 1,5 Millionen Datenpunkte von 99.000 eindeutigen Facebook-Interessen, die mit den Teilnehmern verknüpft waren, die einen Median von 426 registrierten Interessen hatten.

Die Forscher berechneten dann eine Formel, um die Mindestanzahl an Interessen zu bestimmen, die für das Nanotargeting eines Individuums erforderlich sind, und stellten fest, dass nur 4 “marginale” Interessen erforderlich sind, und dass die Angriffswahrscheinlichkeit mit zunehmender Spezialisierung der Interessen steigt.

Für “zufällige Interessen” – Interessen, die willkürlich aus dem Pool aller verfügbaren Interessengruppen gezogen werden – schätzte die Formel, dass ’12, 18, 22 und 27 zufällige Interessen einen Nutzer auf Facebook mit einer Wahrscheinlichkeit von 50%, 80%, 90% und 95% eindeutig machen’.

Ergebnisse des Modells der Forscher, das die Anzahl der Interessen berechnet, die erforderlich sind, um einen Nutzer unter verschiedenen Einschränkungen zu identifizieren. Quelle: https://arxiv.org/pdf/2110.06636.pdf

Nanotargeting-Test

Die Autoren erstellten gezielte Werbekampagnen, die sich an sie selbst richteten, mit zufälligen Interessensgruppen, die von der Facebook-Werbeoberfläche zugewiesen wurden. Obwohl präzisere Ergebnisse durch die Verwendung “marginaler” Interessen hätten erzielt werden können, bevorzugten die Autoren, die breite Anwendbarkeit der Theorie zu beweisen, anstatt “zu betrügen”, indem sie auf hyper-spezifische Interessen abzielten.

In der unteren rechten Ecke werden die Anzahl der Interessen, die die Anzeige antreiben, innerhalb der FDVT-Oberfläche angezeigt.

Mithilfe mehrerer Kriterien, einschließlich Schnappschüsse der “Warum sehe ich diese Anzeige?”-Notiz, die mit Facebook-Anzeigen verbunden ist, legten die Autoren Kriterien für den Erfolg fest, um die Zielgruppe exklusiv zu bedienen, basierend auf ihren Interessen allein. “Fehler” wurde definiert durch Fälle, in denen die Anzeige nicht nur dem Autor, sondern auch anderen Lesern gezeigt wurde.

Neun von 21 Kampagnen, die mit verschiedenen Zahlen von Interessen als Zielkriterien durchgeführt wurden, “monotargetierten” den beabsichtigten Empfänger der Anzeige erfolgreich, wobei der Erfolg mit der Anzahl der identifizierten Interessen stieg (und unter Berücksichtigung, dass “zufällige” Interessen und nicht handgefertigte und benutzerspezifische Interessen verwendet wurden, um diese Ergebnisse zu erzielen).

Ergebnisse des Nanotargeting-Experiments für die drei mitwirkenden Autoren des Papiers, die alle mindestens zwei nanotargetierte Anzeigen exklusiv erhielten. Mehrere Impressionen für ein erfolgreiches Nanotargeting sind das Ergebnis der Anzeige, die dem Ziel mehrmals über SeitenImpressionen gezeigt wird, und nicht ein Hinweis darauf, dass jemand anderes die Anzeige gesehen hat.

Die Autoren erkennen an, dass die hohen Kosten für manipulative Facebook-Werbeaktionen diesen Angriff unrentabel machen könnten. Es stellt sich jedoch heraus, dass die Kosten minimal waren:

‘Leider zeigen die Ergebnisse, die aus dem [Facebook] Ad Campaign Manager extrahiert wurden, dass das Nanotargeting eines Nutzers ziemlich billig ist. Tatsächlich betrug die Gesamtkosten der 9 erfolgreichen Nanotargeting-Kampagnen nur 0,12 €. Überraschenderweise berechnete [Facebook] uns nichts für drei der erfolgreichen Nanotargeting-Kampagnen, die nur 1 Anzeigenimpression an den Zielnutzer lieferten.

‘Daher kann der extrem niedrige Preis für Nanotargeting eher ein ermutigender Faktor für Angreifer sein, diese Praxis zu nutzen.’

Umgehung von Facebook-“Schutzmaßnahmen”

Das Papier weist darauf hin, dass Facebooks Werbedienste “Mindestlisten” haben, die ein Nutzer targeten kann, was es technisch gesehen unmöglich macht, einen bestimmten Einzelnen als Ziel für eine Werbekampagne zu verwenden. Die Autoren bemerken jedoch, dass diese Einschränkungen leicht zu umgehen sind.

Zum Beispiel bemerkt der Bericht, dass ein CEO 2017 berichtete, wie er einen potenziellen Mitarbeiter von einem anderen Unternehmen abwarb, indem er eine Facebook-Kampagne orchestrierte, die nur für diesen Ziel-Einzelnen bestimmt war, einen Mann. Dies erforderte die Befriedigung von Facebooks Mindestkriterien, indem eine Liste von 29 Frauen und einem Mann (dem Ziel) hochgeladen und dann “Männlich” als Lieferkriterium ausgewählt wurde.

Das Papier behauptet, dass Facebooks Einschränkungen, obwohl sie aktualisiert wurden, unvollkommen durchgesetzt und inkonsistent sind. Während die Ergebnisse eines früheren Papiers den sozialen Medien-Riesen dazu zwangen, die Konfiguration von Zielgruppen mit weniger als 20 in seinem Ads Campaign Manager zu verbieten, bestreiten die Autoren die Wirksamkeit der Richtlinienänderung und erklären, dass ‘Unsere Forschung zeigt, dass diese Grenze derzeit nicht angewendet wird’.

Falsche Impressionen

Abgesehen von der allgemeinen kulturellen Gegenreaktion auf den Cambridge-Analytica-Skandal, der eine zögerliche Änderung von Werbegiganten wie Google auslöste, untergräbt das Nanotargeting von Anzeigen das allgemeine Verständnis, dass Werbekultur “allgemeine” Kultur ist, die, wenn nicht von allen, so zumindest von einer breiten Demografie oder geografischen Gruppe geteilt wird.

Die Autoren des Papiers weisen auf eine Reihe von Fällen hin, in denen Nanotargeting auf eine täuschende Weise verwendet wurde, einschließlich der Zeit im Jahr 2017, als der britische Labour-Politiker Jeremy Corbyn, damals Führer der Regierungsopposition, verkündete, dass Labour eine Facebook-Werbeaktion starten sollte, um die Wählerregistrierung zu fördern.

Die Labour-Parteichefs billigten die Idee nicht, aber anstatt in Konflikt zu geraten, führten sie einfach eine 5.000-Pfund-Werbeaktion durch, die darauf abzielte, nur Corbyn und seine Mitarbeiter sowie eine Auswahl von sympathisierenden Journalisten zu targeten. Niemand anders sah diese Anzeigen.

Die Autoren erklären:

‘[Nanotargeting] kann effektiv verwendet werden, um einen Nutzer zu manipulieren, um ihn zu überzeugen, ein Produkt zu kaufen oder um ihn zu überzeugen, seine Meinung zu einem bestimmten Thema zu ändern. Außerdem kann Nanotargeting verwendet werden, um ein falsches Bewusstsein zu schaffen, in dem der Nutzer einer Realität ausgesetzt ist, die sich von dem unterscheidet, was die restlichen Nutzer sehen (wie es im Fall von Corbyn geschah). Schließlich kann Nanotargeting ausgenutzt werden, um andere schädliche Praktiken wie Erpressung zu implementieren.’