Facebook: utenti "nanotargeting" basati esclusivamente sui loro interessi percepiti

I ricercatori hanno sviluppato un metodo per inviare una campagna pubblicitaria su Facebook a una sola persona su 1.5 miliardi, basandosi solo sugli interessi dell'utente e non su informazioni personali identificabili (PII), come indirizzi e-mail, numeri di telefono o posizione geografica solitamente associati agli scandali di "targeting" degli ultimi anni.

Gli utenti hanno un controllo limitato su questi interessi, che vengono determinati algoritmicamente in base alle abitudini di navigazione, ai "Mi piace" e ad altre forme di interazione che Facebook è in grado di identificare e che sono incluse nei criteri per la visualizzazione di un annuncio pubblicitario su Facebook.

Poiché gli interessi sono associati agli utenti di Facebook basato sul contenuto che pubblicano e con cui interagiscono, gli utenti possono essere presi di mira individualmente senza mai dichiarare esplicitamente quali sono i loro interessi in nessuno dei contenuti che pubblicano e in opposizione a quasi tutte le misure attuali che potrebbero adottare per proteggersi da iper-specifici targeting degli annunci.

La ricerca suggerisce anche che il "nanotargeting" degli utenti in questo modo non è solo economico, ma occasionalmente gratuita, poiché Facebook spesso non addebita a un inserzionista una campagna poco servita (ovvero una campagna che ha raggiunto solo una persona).

Nel 2018 un AdNews studio ha stabilito che, in media, Facebook assegna algoritmicamente 357 interessi per utente, di cui 134 sono stati classificati come "accurati".

Tassi di interesse elevati

Gli autori del nuovo articolo hanno testato le proprie ipotesi su se stessi, creando una campagna pubblicitaria su Facebook progettata per "nanotargettizzare" gli autori su un pubblico potenziale di 1.5 miliardi di utenti Facebook, in base a una serie casuale di interessi target; gli annunci sono stati inviati con successo ed esclusivamente ai target in cui erano stati presi in considerazione numeri più elevati di interessi scelti casualmente (vedere la tabella dei risultati verso la fine dell'articolo).

I ricercatori stimano che un individuo possa essere identificato e preso di mira, in base solo ai suoi interessi, con una precisione del 90%, sebbene il numero di interessi necessari vari a seconda di quanto siano comuni gli interessi:

"I nostri risultati indicano che i 4 interessi [su Facebook] più rari di un utente lo rendono unico nella base utenti menzionata con una probabilità del 90%. Se invece consideriamo una selezione casuale di interessi, sarebbero necessari 22 interessi per rendere un utente unico con una probabilità del 90%."

Gli autori suggeriscono che questo approccio al targeting da parte di cecchini di un pubblico di utenti di Facebook presumibilmente generalizzato o semi-anonimo è solo "la punta dell'iceberg" in termini di utilizzo di dati non PII per vanificare i recenti sforzi e iniziative per proteggere la privacy degli utenti sulla scia di Cambridge Analytica.

. carta, dal titolo Unico su Facebook: formulazione e prova del (nano)targeting di singoli utenti con dati non PII, è una collaborazione tra tre ricercatori dell'Universidad Carlos de III di Madrid, insieme a uno scienziato dei dati della GTD System & Software Engineering e a un professore dell'Università di Tecnologia di Graz in Austria.

Metodologia

La ricerca è stata condotta su un dataset raccolto nel gennaio del 2017. L'anno successivo Facebook ha aumentato il minimo Portata potenziale dimensione della folla per una campagna pubblicitaria da 20 a 1000, ma i ricercatori notano che ciò non impedisce agli inserzionisti di rivolgersi a gruppi di meno di 1000, ma solo di conoscere l'effettiva Taglia del target di riferimento ottenuto.

I ricercatori notano anche che il lavoro precedente ha dimostrato che il limite di 1000 utenti può effettivamente essere abbassato fino a 100 e che 100 utenti è il gruppo target più piccolo disponibile per coloro che desiderano riprodurre il lavoro.

Tuttavia, poiché il set di dati è stato compilato, Facebook ha aggiunto 'Il mondo intero' come potenziale bacino di utenza per la campagna, il che significa che i ricercatori hanno dimostrato la loro ipotesi con ulteriori restrizioni che non esistono più (hanno dovuto invece inviare un target di località filtrato che includesse i 50 paesi in cui Facebook ha la maggiore presenza di utenti, risultando in un pubblico potenziale di 1.5 miliardi di utenti).

Dati

I dati sono stati ottenuti da un gruppo di 2,390 utenti Facebook autentici che avevano installato l'app degli autori FDVT del browser estensione (vedi immagine sotto e video alla fine dell'articolo) prima di gennaio 2017, tutti i volontari. L'estensione fornisce agli utenti una stima in tempo reale delle entrate che la loro navigazione genera per Facebook, sulla base di PII e dati demografici che i volontari accettano di condividere con i ricercatori.

L'estensione del browser FDVT fornita dai ricercatori fornisce all'utente Facebook registrato un flusso di informazioni sugli aspetti relativi alla privacy e alla redditività (per Facebook) delle attività di navigazione dell'utente. Fonte: https://www.youtube.com/watch?v=Gb6mwJqHhCI

I ricercatori hanno ottenuto 1.5 milioni di punti dati da 99,000 interessi unici di Facebook associati ai partecipanti, che avevano una mediana di 426 interessi registrati.

I ricercatori hanno quindi calcolato una formula per stabilire il numero minimo di interessi necessari per eseguire il nanotargeting su un individuo, stabilendo che sono necessari solo 4 interessi "marginali" e che la probabilità di un attacco aumenta man mano che gli interessi diventano più specializzati e meno rappresentativi delle tendenze di interesse generali.

Per gli "interessi casuali" – interessi estratti arbitrariamente dal pool di tutte le categorie di interessi disponibili – la formula ha stimato che '12, 18, 22 e 27 interessi casuali rendono un utente unico su FB con una probabilità rispettivamente del 50%, 80%, 90% e 95%'.

Risultati del modello dei ricercatori, che calcola il numero di interessi necessari per individuare un utente in base a vari vincoli. Fonte: https://arxiv.org/pdf/2110.06636.pdf

Test di nanotargeting

Gli autori hanno creato campagne pubblicitarie mirate, mirate a se stessi, utilizzando insiemi casuali di interessi assegnati dall'interfaccia pubblicitaria di Facebook. Sebbene risultati più precisi avrebbero potuto essere ottenuti impostando interessi "marginali", gli autori hanno preferito dimostrare l'ampia applicabilità della teoria, piuttosto che "barare" concentrandosi su interessi iperspecifici.

Nell'angolo in basso a destra, il numero di interessi che alimentano l'annuncio viene visualizzato all'interno dell'interfaccia FDVT.

Utilizzando diversi criteri, tra cui istantanee dell'avviso "Perché vedo questo annuncio?" incluso negli annunci di Facebook, gli autori hanno stabilito criteri di successo in termini di visualizzazione di un annuncio al target esclusivamente in base ai propri interessi. Il "fallimento" è stato definito dai casi in cui l'annuncio è stato mostrato non solo all'autore, ma anche ad altri lettori.

Nove delle 21 campagne condotte, con un numero variabile di interessi come criteri di destinazione, sono riuscite a "monotargettizzare" con successo il destinatario previsto dell'annuncio, con un successo crescente in base al numero di interessi identificati (e ricordando che per ottenere questi risultati sono stati utilizzati interessi "casuali", non interessi creati su misura e specifici per l'utente).

Risultati dell'esperimento di nanotargeting per i tre autori che hanno contribuito all'articolo, i quali hanno ricevuto esclusivamente almeno due annunci con nanotargeting. Le impressioni multiple per un nanotargeting di successo sono il risultato dell'annuncio che viene mostrato più volte al target attraverso le impressioni della pagina e non un'indicazione che qualcun altro ha visto l'annuncio.

Gli autori riconoscono che l'alto costo delle campagne pubblicitarie manipolative di Facebook potrebbe rendere questo tipo di attacco non fattibile. Tuttavia, risulta che il costo era minimo:

"Purtroppo, i risultati estratti da [Facebook] Ad Campaign Manager [dimostrano] che il nanotargeting di un utente è piuttosto economico. In effetti, il costo complessivo delle 9 campagne di nanotargeting riuscite è stato di soli 0.12€. Sorprendentemente, [Facebook] non ci ha addebitato nulla in tre delle campagne di nanotargeting di successo che hanno fornito solo 1 impressione dell'annuncio all'utente mirato.

Pertanto, anziché rappresentare un fattore scoraggiante, il costo estremamente basso del nanotargeting potrebbe incoraggiare gli aggressori a sfruttare questa pratica.

Aggirare le "protezioni" di Facebook

L'articolo sottolinea che i servizi pubblicitari di Facebook prevedono "dimensioni minime degli elenchi" che un utente può raggiungere, rendendo tecnicamente impossibile caricare un individuo specifico come target di una campagna pubblicitaria. Tuttavia, gli autori osservano che queste restrizioni sono, ingenuamente, facili da aggirare.

Ad esempio, osserva il rapporto, un amministratore delegato segnalati Nel 2017, ha raccontato di come sia riuscito a sottrarre un potenziale dipendente da un'altra azienda orchestrando una campagna Facebook progettata esclusivamente per raggiungere quel target, un uomo. Ciò comportava il soddisfacimento del criterio minimo (30) di Facebook caricando un elenco di ventinove donne e un uomo (il target), e selezionando poi "Uomo" come criterio di invio.

Il documento sostiene che le restrizioni di Facebook, sebbene successivamente aggiornate, sono applicate in modo imperfetto e incoerenti. Mentre i risultati di un carta precedente costretto il gigante dei social media a non consentire la configurazione di segmenti di pubblico inferiori a 20 nel suo Ads Campaign Manager, gli autori contestano l'efficacia della modifica della politica, affermando che "La nostra ricerca dimostra che questo limite non viene attualmente applicato".

False impressioni

Oltre al contraccolpo culturale generale dello scandalo Cambridge Analytica, che ha incitato cambiamento riluttante Dai giganti della pubblicità come Google, il nanotargeting degli annunci pubblicitari mina il senso comune secondo cui la cultura pubblicitaria è una cultura "generale", condivisa, se non da tutti, almeno da un ampio gruppo demografico o geografico.

Gli autori dell'articolo sottolineano una serie di casi in cui il nanotargeting è stato utilizzato in modo ingannevole, tra cui il caso del 2017 in cui il politico laburista britannico Jeremy Corbyn, allora leader del partito di opposizione al governo, decretò che il partito laburista avrebbe dovuto lanciare una campagna pubblicitaria su Facebook per incoraggiare la registrazione degli elettori.

I capi del partito laburista disapprovavano l'idea, ma piuttosto che entrare in conflitto, semplicemente ha implementato una campagna pubblicitaria da £ 5000 progettato per prendere di mira solo Corbyn e i suoi associati, nonché un numero selezionato di giornalisti comprensivi. Nessun altro ha visto quegli annunci.

Gli autori affermano:

"[Il nanotargeting] può essere utilizzato efficacemente per manipolare un utente e convincerlo ad acquistare un prodotto o a cambiare idea su una determinata questione. Inoltre, il nanotargeting potrebbe essere utilizzato per creare una falsa percezione in cui l'utente viene esposto a una realtà diversa da quella che vedono gli altri utenti (come è successo nel caso di Corbyn). Infine, il nanotargeting potrebbe essere sfruttato per attuare altre pratiche dannose, come il ricatto".

Concludono:

Infine, vale la pena sottolineare che il nostro lavoro ha svelato solo la punta dell'iceberg su come i dati non PII possano essere utilizzati per scopi di nanotargeting. Il nostro lavoro si basa esclusivamente sugli interessi degli utenti, ma un inserzionista può utilizzare altri parametri sociodemografici disponibili per configurare il pubblico in [Facebook] Ads Manager, come la residenza (Paese, città, CAP, ecc.), il luogo di lavoro, l'università, il numero di figli, il dispositivo mobile utilizzato (iOS, Android), ecc., per restringere rapidamente le dimensioni del pubblico a cui indirizzare un utente.