Sorveglianza
Facebook: utenti "nanotargeting" basati esclusivamente sui loro interessi percepiti
I ricercatori hanno sviluppato un metodo per fornire una campagna pubblicitaria di Facebook a una sola persona su 1.5 miliardi, basata solo sugli interessi dell'utente e non su informazioni di identificazione personale (PII), come indirizzi e-mail, numeri di telefono o posizione geografica in genere associati agli scandali "mirati" degli ultimi anni.
Gli utenti hanno controllo limitato su questi interessi, che sono determinati algoritmicamente in base alle abitudini di navigazione, ai "Mi piace" e ad altre forme di interazione che Facebook è in grado di identificare e che sono inclusi nei criteri per ricevere un annuncio di Facebook.
Poiché gli interessi sono associati agli utenti di Facebook basato sul contenuto che pubblicano e con cui interagiscono, gli utenti possono essere presi di mira individualmente senza mai dichiarare esplicitamente quali sono i loro interessi in nessuno dei contenuti che pubblicano e in opposizione a quasi tutte le misure attuali che potrebbero adottare per proteggersi da iper-specifici targeting degli annunci.
La ricerca suggerisce anche che il "nanotargeting" degli utenti in questo modo non è solo economico, ma occasionale "gratis", poiché Facebook spesso non addebita a un inserzionista una campagna poco servita (ovvero una campagna che ha raggiunto solo una persona).
Nel 2018 un AdNews studio ha stabilito che in media Facebook assegna algoritmicamente 357 interessi per utente, di cui 134 sono stati valutati come "accurati".
Tassi di interesse elevati
Gli autori del nuovo documento hanno testato su se stessi i suoi presupposti, creando una campagna pubblicitaria su Facebook progettata per "nanotizzare" gli autori su un potenziale pubblico di 1.5 miliardi di utenti di Facebook, sulla base di una serie casuale di interessi target; gli annunci sono stati consegnati con successo ed esclusivamente ai target in cui sono stati considerati numeri più elevati di interessi scelti a caso (vedere la tabella dei risultati verso la fine dell'articolo).
I ricercatori stimano che un individuo possa essere identificato e preso di mira, in base solo ai suoi interessi, con una precisione del 90%, sebbene il numero di interessi necessari vari a seconda di quanto siano comuni gli interessi:
"I nostri risultati indicano che i 4 interessi [di Facebook] più rari di un utente lo rendono unico nella base di utenti menzionata con una probabilità del 90%. Se invece consideriamo una selezione casuale di interessi, sarebbero necessari 22 interessi per rendere unico un utente con una probabilità del 90%.'
Gli autori suggeriscono che questo approccio al targeting da cecchino di un pubblico di utenti Facebook presumibilmente generalizzato o semi-anonimo sia solo "la punta dell'iceberg" in termini di utilizzo di dati non PII per annullare i recenti sforzi e iniziative per proteggere la privacy degli utenti sulla scia di Cambridge Analytica.
I carta, dal titolo Unico su Facebook: formulazione e prova del (nano)targeting di singoli utenti con dati non PII, è una collaborazione tra tre ricercatori dell'Universidad Carlos de III di Madrid, insieme a un data scientist del GTD System & Software Engineering e un professore dell'Austria's Graz University of Technology.
Metodologia
La ricerca è stata condotta su un dataset raccolto nel gennaio del 2017. L'anno successivo Facebook ha aumentato il minimo Portata potenziale dimensione della folla per una campagna pubblicitaria da 20 a 1000, ma i ricercatori notano che ciò non impedisce agli inserzionisti di rivolgersi a gruppi di meno di 1000, ma solo di conoscere l'effettiva Taglia del target di riferimento ottenuto.
I ricercatori notano anche che il lavoro precedente ha dimostrato che il limite di 1000 utenti può effettivamente essere abbassato fino a 100 e che 100 utenti è il gruppo target più piccolo disponibile per coloro che desiderano riprodurre il lavoro.
Tuttavia, poiché il set di dati è stato compilato, Facebook ha aggiunto 'Il mondo intero' come potenziale bacino di utenza per la campagna, il che significa che i ricercatori hanno dimostrato la loro ipotesi con ulteriori restrizioni che non esistono più (hanno dovuto invece inviare un target di località filtrato che includesse i 50 paesi in cui Facebook ha la maggiore presenza di utenti, risultando in un pubblico potenziale di 1.5 miliardi di utenti).
Dati
I dati sono stati ottenuti da un corpo di 2,390 veri utenti di Facebook che avevano installato gli autori FDVT del browser estensione (vedi immagine sotto e video alla fine dell'articolo) prima di gennaio 2017, tutti i volontari. L'estensione fornisce agli utenti una stima in tempo reale delle entrate che la loro navigazione genera per Facebook, sulla base di PII e dati demografici che i volontari accettano di condividere con i ricercatori.
L'estensione del browser FDVT fornita dai ricercatori fornisce all'utente che ha effettuato l'accesso a Facebook un flusso di informazioni sugli aspetti della privacy e sulla redditività (per Facebook) delle attività di navigazione dell'utente. Fonte: https://www.youtube.com/watch?v=Gb6mwJqHhCI
I ricercatori hanno ottenuto 1.5 milioni di punti dati da 99,000 interessi unici di Facebook associati ai partecipanti, che avevano una mediana di 426 interessi registrati.
I ricercatori hanno quindi calcolato una formula per stabilire il numero minimo di interessi necessari per eseguire il nanotargeting su un individuo, stabilendo che sono richiesti solo 4 interessi "marginali" e che una probabilità di attacco aumenta man mano che gli interessi diventano più specializzati e meno rappresentativi di un interesse generale tendenze.
Per gli "interessi casuali" - interessi prelevati arbitrariamente dal pool di tutte le categorie di interessi disponibili - la formula lo stimava '12, 18, 22 e 27 interessi casuali rendono un utente unico su FB con una probabilità rispettivamente del 50%, 80%, 90% e 95%'.
Risultati dal modello dei ricercatori, calcolando il numero di interessi necessari per individuare un utente sotto vari vincoli. Fonte: https://arxiv.org/pdf/2110.06636.pdf
Test di nanotargeting
Gli autori hanno creato campagne pubblicitarie mirate rivolte a se stessi utilizzando insiemi casuali di interessi assegnati dall'interfaccia degli annunci di Facebook. Sebbene si sarebbero potuti ottenere risultati più precisi fissando interessi "marginali", gli autori hanno preferito dimostrare l'ampia applicabilità della teoria, piuttosto che "imbrogliare" puntando su interessi iper-specifici.
Nell'angolo in basso a destra, il numero di interessi che alimentano l'annuncio viene visualizzato all'interno dell'interfaccia FDVT.
Utilizzando diversi criteri, tra cui istantanee della domanda "Perché vedo questo annuncio?" avviso incluso con gli annunci di Facebook, gli autori hanno stabilito i criteri per il successo in termini di target che viene servito esclusivamente un annuncio basato solo sui loro interessi. Il "fallimento" è stato definito dai casi in cui l'annuncio è stato mostrato non solo all'autore, ma anche ad altri lettori.
Nove delle 21 campagne eseguite, con un numero variabile di interessi come criteri target, hanno raggiunto con successo il "monotargeting" sul destinatario previsto dell'annuncio, con un successo crescente in base al numero di interessi identificati (e ricordando che gli interessi "casuali" sono stati utilizzati per ottenere questi risultati, interessi non elaborati e specifici dell'utente).
Risultati dell'esperimento di nanotargeting per i tre autori che hanno contribuito all'articolo, i quali hanno ricevuto esclusivamente almeno due annunci con nanotargeting. Le impressioni multiple per un nanotargeting di successo sono il risultato dell'annuncio che viene mostrato più volte al target attraverso le impressioni della pagina e non un'indicazione che qualcun altro ha visto l'annuncio.
Gli autori riconoscono che l'alto costo delle campagne pubblicitarie manipolative di Facebook potrebbe rendere questo tipo di attacco non fattibile. Tuttavia, risulta che il costo era minimo:
"Purtroppo, i risultati estratti da [Facebook] Ad Campaign Manager [dimostrano] che il nanotargeting di un utente è piuttosto economico. In effetti, il costo complessivo delle 9 campagne di nanotargeting riuscite è stato di soli 0.12€. Sorprendentemente, [Facebook] non ci ha addebitato nulla in tre delle campagne di nanotargeting di successo che hanno fornito solo 1 impressione dell'annuncio all'utente mirato.
"Pertanto, piuttosto che un fattore scoraggiante, il costo estremamente basso del nanotargeting può incoraggiare gli aggressori a sfruttare questa pratica."
Battiscopa le "protezioni" di Facebook
Il documento rileva che i servizi pubblicitari di Facebook hanno "dimensioni minime dell'elenco" che un utente può scegliere come target, rendendo tecnicamente impossibile caricare un individuo specifico come target della campagna pubblicitaria. Tuttavia, gli autori osservano che queste restrizioni sono falsamente banali da aggirare.
Ad esempio, osserva il rapporto, un amministratore delegato segnalati nel 2017 come è riuscito a rubare un potenziale membro dello staff di un'altra azienda orchestrando una campagna Facebook progettata solo per raggiungere quell'individuo target, un maschio. Ciò ha comportato il soddisfacimento dei criteri minimi (30) di Facebook caricando un elenco di ventinove femmine e un maschio (il target), quindi selezionando "Maschio" come criterio di consegna.
Il documento sostiene che le restrizioni di Facebook, sebbene successivamente aggiornate, sono applicate in modo imperfetto e incoerenti. Mentre i risultati di un carta precedente costretto il gigante dei social media a non consentire la configurazione di segmenti di pubblico inferiori a 20 nel suo Ads Campaign Manager, gli autori contestano l'efficacia della modifica della politica, affermando che "La nostra ricerca mostra che questo limite non è attualmente applicato".
False impressioni
Oltre al contraccolpo culturale generale dello scandalo Cambridge Analytica, che ha incitato cambiamento riluttante da giganti della pubblicità come Google, il nanotargeting delle pubblicità mina la comprensione del buon senso secondo cui la cultura pubblicitaria è una cultura "generale", condivisa, se non da tutti, almeno da un ampio gruppo demografico o geografico.
Gli autori del documento sottolineano una serie di casi in cui il nanotargeting è stato utilizzato in modo ingannevole, inclusa la volta nel 2017 in cui il politico laburista britannico Jeremy Corbyn, allora leader del partito di opposizione del governo, ha decretato che i laburisti dovrebbero condurre una campagna pubblicitaria su Facebook per incoraggiare gli elettori registrazione.
I capi del partito laburista disapprovavano l'idea, ma piuttosto che entrare in conflitto, semplicemente ha implementato una campagna pubblicitaria da £ 5000 progettato per prendere di mira solo Corbyn e i suoi associati, nonché un numero selezionato di giornalisti comprensivi. Nessun altro ha visto quegli annunci.
Gli autori affermano:
'[Il nanotargeting] può essere efficacemente utilizzato per manipolare un utente per persuaderlo ad acquistare un prodotto o per convincerlo a cambiare idea riguardo a un particolare problema. Inoltre, il nanotargeting potrebbe essere utilizzato per creare una falsa percezione in cui l'utente è esposto a una realtà diversa da quella che vede il resto degli utenti (come è successo nel caso di Corbyn). Infine, il nanotargeting potrebbe essere sfruttato per implementare altre pratiche dannose come il ricatto.'
Concludono:
'Infine, vale la pena notare che il nostro lavoro ha rivelato solo la punta dell'iceberg su come i dati non PII possono essere utilizzati per scopi di nanotargeting. Il nostro lavoro si basa esclusivamente sugli interessi degli utenti, ma un inserzionista può utilizzare altri parametri socio-demografici disponibili per configurare il pubblico in [Facebook] Ads Manager come la posizione di casa (paese, città, codice postale, ecc.), posto di lavoro, università , numero di bambini, dispositivo mobile utilizzato (iOS, Android), ecc., per restringere rapidamente la dimensione del pubblico al nanotargeting di un utente.'
