Facebook: ‘Nanotargeting’ Utenti in Base Esclusivamente ai Loro Interessi Percepiti

I ricercatori hanno sviluppato un metodo per consegnare una campagna pubblicitaria Facebook a una sola persona su 1,5 miliardi, in base solo agli interessi dell’utente, e non alle informazioni personali identificative (PII), come gli indirizzi e-mail, i numeri di telefono o la posizione geografica tipicamente associate agli scandali di “targeting” degli ultimi anni.

Gli utenti hanno un controllo limitato su questi interessi, che sono determinati algoritmicamente in base alle abitudini di navigazione, ai “mi piace” e ad altre forme di interazione che Facebook è in grado di identificare, e che sono inclusi nei criteri per la visualizzazione di un annuncio Facebook.

Poiché gli interessi sono associati agli utenti di Facebook in base al contenuto che pubblicano e con cui interagiscono, gli utenti possono essere individuati senza mai aver esplicitamente dichiarato quali sono i loro interessi in alcun contenuto che pubblicano, e in opposizione a quasi tutte le misure attuali che potrebbero adottare per proteggersi da un target di annunci iper-specifici.

La ricerca suggerisce inoltre che il “nanotargeting” degli utenti in questo modo non è solo economico, ma a volte gratuito, poiché Facebook spesso non addebiterà un inserzionista per una campagna sottoutilizzata (cioè una campagna che ha raggiunto solo una persona).

Nel 2018, uno studio di AdNews ha stabilito che in media, Facebook assegna algoritmicamente 357 interessi per utente, dei quali 134 sono stati valutati come “accurati”.

Tassi di Interesse Elevati

Gli autori del nuovo studio hanno testato le loro ipotesi su se stessi, creando una campagna pubblicitaria Facebook progettata per “nanotargeting” gli autori da un pubblico potenziale di 1,5 miliardi di utenti Facebook, in base a una serie casuale di interessi di destinazione; gli annunci sono stati consegnati con successo e in esclusiva ai bersagli dove un numero maggiore di interessi casualmente scelti è stato considerato (vedi tabella dei risultati verso la fine dell’articolo).

I ricercatori stanno stimando che un individuo possa essere identificato e targetizzato, in base solo ai suoi interessi, con un’accuratezza del 90%, sebbene il numero di interessi necessari vari in base a quanto sono comuni gli interessi:

‘I nostri risultati indicano che i 4 interessi più rari di un utente lo rendono unico nella base di utenti menzionata con una probabilità del 90%. Se invece consideriamo una selezione casuale di interessi, allora 22 interessi sarebbero necessari per rendere un utente unico con una probabilità del 90%.’

Gli autori suggeriscono che questo approccio al “nanotargeting” di utenti Facebook suppostamente generalizzati o semi-anonimi è solo “la punta dell’iceberg” in termini di utilizzo di dati non PII per annullare gli sforzi e le iniziative recenti per proteggere la privacy degli utenti nel risveglio dello scandalo Cambridge Analytica.

Il documento, intitolato Unico su Facebook: Formulazione ed Evidenza di (Nano)targeting di Utenti Individuali con Dati non PII, è una collaborazione tra tre ricercatori dell’Universidad Carlos de III di Madrid, insieme a un data scientist di GTD System & Software Engineering e a un professore dell’Università Tecnica di Graz, in Austria.

Metodologia

La ricerca è stata condotta su un set di dati raccolti nel gennaio 2017. L’anno successivo, Facebook ha aumentato la dimensione minima del Potenziale Pubblico per una campagna pubblicitaria da 20 a 1000, ma i ricercatori notano che ciò non impedisce agli inserzionisti di targetizzare gruppi di meno di 1000, ma solo di conoscere la dimensione effettiva del pubblico di destinazione ottenuto.

I ricercatori notano inoltre che lavori precedenti hanno dimostrato che il limite di 1000 utenti può essere effettivamente ridotto a solo 100, e che 100 utenti è il gruppo di destinazione più piccolo disponibile per coloro che desiderano riprodurre il lavoro.

Tuttavia, poiché il set di dati è stato compilato, Facebook ha aggiunto ‘Tutto il mondo’ come area di raccolta potenziale per la campagna, il che significa che i ricercatori hanno dimostrato la loro ipotesi sotto restrizioni aggiuntive che non esistono più (hanno invece dovuto inviare una destinazione di localizzazione filtrata che include i 50 paesi in cui Facebook ha la presenza di utenti più grande, risultando in un pubblico potenziale di 1,5 miliardi di utenti).

Dati

I dati sono stati ottenuti da un corpo di 2.390 utenti Facebook autentici che avevano installato l’estensione del browser FDVT degli autori prima del gennaio 2017, tutti volontari. L’estensione fornisce agli utenti una stima in tempo reale del ricavato che la loro navigazione genera per Facebook, in base a dati PII e demografici che i volontari accettano di condividere con i ricercatori.

L’estensione del browser FDVT fornita dai ricercatori fornisce all’utente Facebook connesso un flusso di informazioni sugli aspetti di privacy e sulla redditività (per Facebook) delle attività di navigazione dell’utente. Fonte: https://www.youtube.com/watch?v=Gb6mwJqHhCI

I ricercatori hanno ottenuto 1,5 milioni di punti di dati da 99.000 interessi univoci di Facebook associati ai partecipanti, che avevano una mediana di 426 interessi registrati.

I ricercatori hanno quindi calcolato una formula per stabilire il numero minimo di interessi necessari per eseguire il nanotargeting su un individuo, stabilendo che solo 4 “interessi marginali” sono richiesti, e che la probabilità di attacco aumenta man mano che gli interessi diventano più specializzati e meno rappresentativi di ampie tendenze di interesse.

Per “interessi casuali” – interessi tratti arbitrariamente dal pool di tutte le categorie di interessi disponibili – la formula ha stimato che ’12, 18, 22 e 27 interessi casuali rendono un utente unico su FB con una probabilità del 50%, 80%, 90% e 95%, rispettivamente’.

Risultati del modello dei ricercatori, che calcola il numero di interessi necessari per individuare un utente in base a vari vincoli. Fonte: https://arxiv.org/pdf/2110.06636.pdf

Test di Nanotargeting

Gli autori hanno creato campagne pubblicitarie mirate rivolte a se stessi utilizzando insiemi casuali di interessi assegnati dall’interfaccia pubblicitaria di Facebook. Sebbene risultati più precisi potessero essere ottenuti impostando “interessi marginali”, gli autori hanno preferito dimostrare l’applicabilità generale della teoria, piuttosto che “barare” concentrandosi su interessi iper-specifici.

Nell’angolo in basso a destra, il numero di interessi che alimentano l’annuncio è visualizzato all’interno dell’interfaccia FDVT.

Utilizzando diversi criteri, tra cui istantanee del messaggio “Perché vedo questo annuncio?” incluso con gli annunci di Facebook, gli autori hanno stabilito criteri per il successo in termini di target esclusivamente servito un annuncio in base ai propri interessi soltanto. Il “fallimento” è stato definito dai casi in cui l’annuncio è stato visualizzato non solo all’autore, ma anche ad altri lettori.

Nove delle 21 campagne eseguite, con numeri vari di interessi come criteri di target, hanno “monotargetizzato” con successo il destinatario previsto dell’annuncio, con il successo che aumenta in base al numero di interessi identificati (e ricordando che “interessi casuali” sono stati utilizzati per ottenere questi risultati, e non interessi specifici e personalizzati).

Risultati dell’esperimento di nanotargeting per i tre autori del documento, tutti i quali hanno ricevuto in esclusiva almeno due annunci nanotargetizzati. Le impressioni multiple per un nanotargeting di successo sono il risultato dell’annuncio visualizzato più volte al target durante le impressioni di pagina, e non un’indicazione che qualcun altro abbia visto l’annuncio.

Gli autori riconoscono che il costo elevato di campagne pubblicitarie manipolative di Facebook potrebbe rendere questo tipo di attacco non fattibile. Tuttavia, si scopre che il costo è stato minimo:

‘Purtroppo, i risultati estratti dal [Facebook] Ad Campaign Manager [dimostrano] che il nanotargeting di un utente è piuttosto economico. In effetti, il costo complessivo delle 9 campagne di nanotargeting di successo è stato di solo 0,12€. Sorprendentemente, [Facebook] non ci ha addebitato nulla in tre delle campagne di nanotargeting di successo che hanno consegnato solo 1 impressione di annuncio all’utente target.

‘Pertanto, piuttosto che un fattore scoraggiante, il costo estremamente basso del nanotargeting potrebbe incoraggiare gli aggressori a sfruttare questa pratica.’

Eludendo le “Protezioni” di Facebook

Il documento nota che i servizi pubblicitari di Facebook hanno “dimensioni minime di elenco” che un utente può targetizzare, rendendo tecnicamente impossibile caricare un individuo specifico come target di una campagna pubblicitaria. Tuttavia, gli autori osservano che queste restrizioni sono disingenuamente facili da eludere.

Ad esempio, il rapporto osserva, un CEO ha riferito nel 2017 di come fosse riuscito a convincere un potenziale dipendente di un’altra azienda orchestrando una campagna pubblicitaria di Facebook progettata solo per raggiungere quel target individuale, un uomo. Ciò ha comportato la soddisfazione dei criteri minimi di Facebook (30) caricando un elenco di 29 donne e 1 uomo (il target), e quindi selezionando “Maschio” come criterio di consegna.

Il documento sostiene che le restrizioni di Facebook, sebbene aggiornate successivamente, sono imperfettamente applicate e inconsistenti. Mentre i risultati di un documento precedente hanno costretto il gigante dei social media a non consentire la configurazione di pubblici di meno di 20 nel suo Ads Campaign Manager, gli autori contestano l’efficacia del cambiamento di politica, affermando che ‘La nostra ricerca mostra che questo limite non è attualmente applicato’.

Impressioni False

Oltre al generale contraccolpo culturale dello scandalo Cambridge Analytica, che ha provocato un cambiamento riluttante da parte di giganti della pubblicità come Google, il nanotargeting di annunci pubblicitari mina la comprensione comune che la cultura pubblicitaria sia “generale”, condivisa, se non da tutti, almeno da un ampio gruppo demografico o geografico.

Gli autori del documento sottolineano una serie di casi in cui il nanotargeting è stato utilizzato in modo ingannevole, tra cui il momento in cui, nel 2017, il politico laburista britannico Jeremy Corbyn, all’epoca leader dell’opposizione, ha decretato che il Partito Laburista avrebbe dovuto eseguire una campagna pubblicitaria di Facebook per incoraggiare la registrazione degli elettori.

I capi del Partito Laburista hanno disapprovato l’idea, ma invece di entrare in conflitto, hanno semplicemente implementato una campagna pubblicitaria da £ 5000 progettata per targetizzare solo Corbyn e i suoi associati, nonché un numero selezionato di giornalisti simpatizzanti. Nessun altro ha visto quegli annunci.

‘Infine, è importante notare che il nostro lavoro ha solo rivelato la punta dell’iceberg riguardo a come i dati non PII possano essere utilizzati per scopi di nanotargeting. Il nostro lavoro si basa esclusivamente sugli interessi degli utenti, ma un inserzionista può utilizzare altri parametri socio-demografici disponibili per configurare pubblici nel [Facebook] Ads Manager, come la posizione di casa (paese, città, codice postale, ecc.), luogo di lavoro, college, numero di bambini, dispositivo mobile utilizzato (iOS, Android), ecc., per ridurre rapidamente le dimensioni del pubblico a nanotargeting di un utente.’