Facebook: ‘Nanotargeting’ von Nutzern basierend allein auf ihren wahrgenommenen Interessen

Forscher haben eine Methode entwickelt, um eine Facebook-Werbeaktion an nur eine Person aus 1,5 Milliarden zu liefern, basierend nur auf den Interessen des Nutzers und nicht auf personenbezogenen Daten (PII), wie E-Mail-Adressen, Telefonnummern oder geografischen Standorten, die normalerweise mit “Targeting”-Skandalen der letzten Jahre in Verbindung gebracht werden.

Nutzer haben nur begrenzte Kontrolle über diese Interessen, die algorithmisch basierend auf Browsergewohnheiten, “Likes” und anderen Formen der Interaktion bestimmt werden, die Facebook identifizieren kann und die in den Kriterien für die Anzeige einer Facebook-Werbeaktion enthalten sind.

Da Interessen mit Facebook-Nutzern basierend auf dem Inhalt, den sie posten und mit dem sie interagieren, verknüpft sind, können Nutzer individuell ohne explizite Angabe ihrer Interessen in ihrem geposteten Inhalt oder entgegen fast allen aktuellen Maßnahmen, die sie zur Selbstschutz vor hyper-spezifischer Werbezielung ergreifen könnten, gezielt werden.

Die Forschung legt auch nahe, dass das “Nanotargeting” von Nutzern auf diese Weise nicht nur billig, sondern gelegentlich sogar kostenlos ist, da Facebook normalerweise nicht für eine unzureichend bediente Kampagne (d. h. eine Kampagne, die nur eine Person erreicht) berechnet.

Im Jahr 2018 stellte eine AdNews-Studie fest, dass Facebook algorithmisch im Durchschnitt 357 Interessen pro Nutzer zuweist, von denen 134 als “genau” bewertet wurden.

Hohe Interessenraten

Die Autoren des neuen Papiers testeten ihre Annahmen an sich selbst, indem sie eine Facebook-Werbeaktion erstellten, die darauf abzielte, die Autoren aus einer potenziellen Zielgruppe von 1,5 Milliarden Facebook-Nutzern zu “nanotargeten”, basierend auf einer zufälligen Auswahl von Zielinteressen; die Anzeigen wurden erfolgreich und exklusiv an die Ziele geliefert, wo höhere Zahlen der zufällig ausgewählten Interessen berücksichtigt wurden (siehe Ergebnistabelle am Ende des Artikels).

Die Forscher schätzen, dass ein Individuum basierend nur auf seinen Interessen mit 90% Genauigkeit identifiziert und gezielt werden kann, obwohl die Anzahl der erforderlichen Interessen je nach Häufigkeit der Interessen variiert:

‘Unsere Ergebnisse zeigen, dass die 4 seltensten [Facebook]-Interessen eines Nutzers ihn in der genannten Nutzerbasis mit einer Wahrscheinlichkeit von 90% eindeutig machen. Wenn wir stattdessen eine zufällige Auswahl von Interessen berücksichtigen, wären 22 Interessen erforderlich, um einen Nutzer mit einer Wahrscheinlichkeit von 90% eindeutig zu machen.’

Die Autoren schlagen vor, dass dieser Ansatz zur gezielten Zielung von angeblich verallgemeinerten oder semi-anonymen Facebook-Nutzergruppen nur “die Spitze des Eisbergs” ist, was die Verwendung von Nicht-PII-Daten zur Aufhebung jüngerer Bemühungen und Initiativen zum Schutz der Nutzerprivatsphäre im Gefolge von Cambridge Analytica betrifft.

Das Papier, betitelt Einzigartig auf Facebook: Formulierung und Beweis von (Nano-)Zielung individueller Nutzer mit Nicht-PII-Daten, ist eine Zusammenarbeit zwischen drei Forschern der Universidad Carlos de III in Madrid, zusammen mit einem Datenwissenschaftler von GTD System & Software Engineering und einem Professor an der Technischen Universität Graz in Österreich.

Methodik

Die Forschung wurde auf einer im Januar 2017 gesammelten Datensammlung durchgeführt. Im folgenden Jahr erhöhte Facebook die Mindestgröße der Zielgruppe für eine Werbekampagne von 20 auf 1000, aber die Forscher bemerken, dass dies Werbetreibende nicht daran hindert, Gruppen von weniger als 1000 zu zielen, sondern nur daran, die tatsächliche Größe der Zielgruppe zu kennen.

Die Forscher bemerken auch, dass frühere Arbeiten gezeigt haben, dass die 1000-Benutzer-Grenze effektiv auf nur 100 gesenkt werden kann, und dass 100 Benutzer die kleinste Zielgruppe ist, die für diejenigen verfügbar ist, die die Arbeit reproduzieren möchten.

Allerdings hat Facebook seit der Kompilierung der Datensammlung “Ganze Welt” als potenzielles Einzugsgebiet für die Kampagne hinzugefügt, was bedeutet, dass die Forscher ihre Hypothese unter zusätzlichen Einschränkungen bewiesen haben, die nicht mehr existieren (sie mussten stattdessen ein gefiltertes geografisches Ziel einschließen, das die 50 Länder umfasst, in denen Facebook die größte Nutzerbasis hat, was zu einer potenziellen Zielgruppe von 1,5 Milliarden Nutzern führte).

Daten

Die Daten stammen von 2.390 echten Facebook-Nutzern, die die FDVT-Browser-Erweiterung der Autoren vor Januar 2017 installiert hatten, alle Freiwillige. Die Erweiterung bietet den Nutzern eine Echtzeit-Schätzung der Einnahmen, die ihre Browser-Aktivitäten für Facebook generieren, basierend auf PII- und Demografiedaten, die die Freiwilligen mit den Forschern teilen.

Die FDVT-Browser-Erweiterung, die von den Forschern bereitgestellt wird, gibt dem angemeldeten Facebook-Nutzer einen Informationsstrom über die Privatsphäre und Profitabilität (für Facebook) seiner Browser-Aktivitäten. Quelle: https://www.youtube.com/watch?v=Gb6mwJqHhCI

Die Forscher erhielten 1,5 Millionen Datenpunkte von 99.000 eindeutigen Facebook-Interessen, die mit den Teilnehmern verknüpft waren, die im Durchschnitt 426 registrierte Interessen hatten.

Die Forscher berechneten dann eine Formel, um die Mindestanzahl an Interessen zu bestimmen, die für die Nanotargeting eines Individuums erforderlich sind, und stellten fest, dass nur 4 “marginale” Interessen erforderlich sind, und dass die Angriffswahrscheinlichkeit mit zunehmender Spezialisierung und Abweichung von breiten Interessentrends zunimmt.

Für “zufällige Interessen” – Interessen, die willkürlich aus dem Pool aller verfügbaren Interessengruppen gezogen werden – schätzte die Formel, dass ’12, 18, 22 und 27 zufällige Interessen einen Nutzer auf Facebook mit einer Wahrscheinlichkeit von 50%, 80%, 90% und 95% eindeutig machen’.

Ergebnisse des Modells der Forscher, das die Anzahl der Interessen berechnet, die erforderlich sind, um einen Nutzer unter verschiedenen Einschränkungen zu identifizieren. Quelle: https://arxiv.org/pdf/2110.06636.pdf

Nanotargeting-Test

Die Autoren erstellten gezielte Werbekampagnen, die sich an sie selbst richteten, mit zufälligen Interessensgruppen, die von der Facebook-Werbeoberfläche zugewiesen wurden. Obwohl präzisere Ergebnisse durch die Festlegung von “marginalen” Interessen hätten erzielt werden können, bevorzugten die Autoren es, die breite Anwendbarkeit der Theorie zu beweisen, anstatt “zu betrügen”, indem sie sich auf hyper-spezifische Interessen konzentrierten.

In der unteren rechten Ecke werden die Anzahl der Interessen, die die Anzeige antreiben, innerhalb der FDVT-Oberfläche angezeigt.

Unter Verwendung mehrerer Kriterien, einschließlich Schnappschüsse der “Warum sehe ich diese Anzeige?”-Mitteilung, die mit Facebook-Anzeigen verbunden ist, legten die Autoren Kriterien für den Erfolg in Bezug auf die exklusive Auslieferung einer Anzeige an den Ziel-Nutzer fest. “Fehler” wurde definiert durch Fälle, in denen die Anzeige nicht nur dem Autor, sondern auch anderen Lesern gezeigt wurde.

Neun von 21 Kampagnen, die mit verschiedenen Zahlen von Interessen als Zielkriterien durchgeführt wurden, “monotargetierten” den beabsichtigten Empfänger der Anzeige erfolgreich, wobei der Erfolg mit zunehmender Anzahl der identifizierten Interessen anstieg (und unter Berücksichtigung, dass “zufällige” Interessen und nicht handgefertigte, benutzerspezifische Interessen verwendet wurden, um diese Ergebnisse zu erzielen).

Ergebnisse des Nanotargeting-Experiments für die drei beitragenden Autoren des Papiers, die alle mindestens zwei nanotargetete Anzeigen exklusiv erhielten. Mehrere Impressionen für eine erfolgreiche Nanotargeting sind das Ergebnis der Anzeige, die dem Ziel mehrmals über SeitenImpressionen hinweg gezeigt wird, und nicht ein Hinweis darauf, dass jemand anderes die Anzeige gesehen hat.

Die Autoren erkennen an, dass die hohen Kosten für manipulative Facebook-Werbeaktionen diese Art von Angriff möglicherweise unrentabel machen könnten. Allerdings stellt sich heraus, dass die Kosten minimal waren:

‘Leider zeigen die Ergebnisse, die aus dem [Facebook]-Ad-Campaign-Manager extrahiert wurden, dass das Nanotargeting eines Nutzers ziemlich billig ist. Tatsächlich betrug die Gesamtkosten der 9 erfolgreichen Nanotargeting-Kampagnen nur 0,12 €. Überraschenderweise berechnete [Facebook] uns nichts für drei der erfolgreichen Nanotargeting-Kampagnen, die nur eine Anzeigenimpression für den Ziel-Nutzer lieferten.

‘Daher kann der extrem niedrige Preis für Nanotargeting eher ein ermutigender Faktor für Angreifer sein, diese Praxis auszunutzen.’

Umgehung von Facebook-“Schutzmaßnahmen”

Das Papier bemerkt, dass Facebooks Werbedienste “Mindestlisten-Größen” haben, die ein Nutzer als Zielgruppe anvisieren kann, was es technisch gesehen unmöglich macht, eine bestimmte Person als Zielgruppe für eine Werbekampagne zu verwenden. Allerdings bemerken die Autoren, dass diese Einschränkungen leicht zu umgehen sind.

Beispielsweise berichtete ein CEO 2017, wie er einen potenziellen Mitarbeiter von einem anderen Unternehmen abwerben konnte, indem er eine Facebook-Kampagne orchestrierte, die nur diesen Ziel-Nutzer erreichen sollte, einen Mann. Dies erforderte die Erfüllung von Facebooks Mindestkriterien (30) durch das Hochladen einer Liste von 29 Frauen und einem Mann (dem Ziel) und dann die Auswahl von “Männlich” als Lieferkriterium.

Das Papier behauptet, dass Facebooks Einschränkungen, obwohl sie aktualisiert wurden, unvollständig durchgesetzt und inkonsistent sind. Während die Ergebnisse einer früheren Studie den sozialen Medien-Riesen dazu veranlassten, die Konfiguration von Zielgruppen mit weniger als 20 in seinem Ads Campaign Manager nicht mehr zuzulassen, bestreiten die Autoren die Wirksamkeit dieser Richtlinienänderung und erklären, dass ‘Unsere Forschung zeigt, dass diese Grenze derzeit nicht angewendet wird’.

Falsche Eindrücke

Abgesehen von der allgemeinen kulturellen Gegenreaktion auf den Cambridge-Analytica-Skandal, der eine zögerliche Änderung von Werbegiganten wie Google auslöste, untergräbt das Nanotargeting von Anzeigen das allgemeine Verständnis, dass Werbekultur “allgemeine” Kultur ist, die von einer breiten Demografie oder geografischen Gruppe geteilt wird.

Die Autoren des Papiers weisen auf eine Reihe von Fällen hin, in denen Nanotargeting auf eine täuschende Weise verwendet wurde, einschließlich des Zeitpunkts im Jahr 2017, als der britische Labour-Politiker Jeremy Corbyn, damals Führer der Regierungsopposition, beschloss, eine Facebook-Werbeaktion zu starten, um die Wählerregistrierung zu fördern.

Die Labour-Parteiführer lehnten die Idee ab, aber anstatt in Konflikt zu geraten, führten sie einfach eine 5000-Pfund-Werbeaktion durch, die nur Corbyn und seine Mitarbeiter sowie eine ausgewählte Gruppe von sympathisierenden Journalisten ansprechen sollte. Niemand anders sah diese Anzeigen.

Die Autoren erklären:

‘[Nanotargeting] kann effektiv verwendet werden, um einen Nutzer zu manipulieren, um ihn zu überzeugen, ein Produkt zu kaufen oder um ihn zu überzeugen, seine Meinung zu einem bestimmten Thema zu ändern. Außerdem kann Nanotargeting verwendet werden, um einen falschen Eindruck zu erzeugen, in dem der Nutzer einer Realität ausgesetzt ist, die sich von derjenigen unterscheidet, die die übrigen Nutzer sehen (wie im Fall von Corbyn). Schließlich kann Nanotargeting ausgenutzt werden, um andere schädliche Praktiken wie Erpressung umzusetzen.’

Sie kommen zu dem Schluss:

‘Schließlich ist es erwähnenswert, dass unsere Arbeit nur die Spitze des Eisbergs in Bezug auf die Verwendung von Nicht-PII-Daten für Nanotargeting-Zwecke enthüllt hat. Unsere Arbeit basiert ausschließlich auf den Interessen der Nutzer, aber ein Werbetreibender kann andere verfügbare sozio-demografische Parameter verwenden, um Zielgruppen im [Facebook]-Ads-Manager zu konfigurieren, wie z. B. den Wohnort (Land, Stadt, Postleitzahl usw.), den Arbeitsplatz, das College, die Anzahl der Kinder, das verwendete Mobilgerät (iOS, Android) usw., um die Zielgruppengröße schnell auf ein Nanotargeting eines Nutzers zu reduzieren.’