Facebook: ‘Nanotargeting’ de Usuários Com Base Apenas em Seus Interesses Percebidos

Pesquisadores desenvolveram um método para entregar uma campanha publicitária do Facebook a apenas uma pessoa em 1,5 bilhão, com base apenas nos interesses do usuário, e não em informações de identificação pessoal (PII), como endereços de e-mail, números de telefone ou localização geográfica, normalmente associados a escândalos de “targeting” nos últimos anos.

Os usuários têm controle limitado sobre esses interesses, que são determinados algoritmicamente com base em hábitos de navegação, “curtidas” e outras formas de interação que o Facebook consegue identificar, e que são incluídos nos critérios para serem servidos um anúncio do Facebook.

Como os interesses estão associados a usuários do Facebook com base no conteúdo que postam e interagem, os usuários podem ser individualmente direcionados sem nunca explicitar quais são seus interesses em qualquer um do conteúdo que postam, e em oposição a quase todas as medidas atuais que eles podem tomar para se proteger de direcionamento publicitário hiperespecífico.

A pesquisa também sugere que “nanotargeting” de usuários dessa forma não é apenas barato, mas ocasionalmente gratuito, pois o Facebook muitas vezes não cobra do anunciante por uma campanha subatendida (ou seja, uma campanha que atingiu apenas uma pessoa).

Em 2018, um estudo da AdNews estabeleceu que, em média, o Facebook atribui 357 interesses por usuário, dos quais 134 foram classificados como “precisos”.

Taxas de Interesse Elevadas

Os autores do novo artigo testaram suas suposições em si mesmos, criando uma campanha publicitária do Facebook projetada para “nanotargeting” os autores de um público potencial de 1,5 bilhão de usuários do Facebook, com base em uma matriz aleatória de interesses de destino; os anúncios foram entregues com sucesso e exclusivamente aos alvos onde maiores números de interesses aleatoriamente escolhidos foram considerados (veja tabela de resultados no final do artigo).

Os pesquisadores estimam que um indivíduo pode ser identificado e direcionado, com base apenas em seus interesses, com 90% de precisão, embora o número de interesses necessários varie dependendo de quão comuns os interesses são:

‘Nossos resultados indicam que os 4 interesses mais raros de um usuário os tornam únicos na base de usuários mencionada com uma probabilidade de 90%. Se considerarmos uma seleção aleatória de interesses, então 22 interesses seriam necessários para tornar um usuário único com uma probabilidade de 90%.’

Os autores sugerem que essa abordagem para o direcionamento de supostas audiências generalizadas ou semi-anônimas do Facebook é apenas “a ponta do iceberg” em termos de uso de dados não PII para desfazer esforços e iniciativas recentes para proteger a privacidade do usuário após o escândalo da Cambridge Analytica.

O artigo, intitulado Único no Facebook: Formulação e Evidências de (Nano)direcionamento de Usuários Individuais com Dados não PII, é uma colaboração entre três pesquisadores da Universidad Carlos de III em Madrid, juntamente com um cientista de dados da GTD System & Software Engineering e um professor da Universidade Técnica de Graz, na Áustria.

Metodologia

A pesquisa foi realizada em um conjunto de dados coletado em janeiro de 2017. No ano seguinte, o Facebook aumentou o tamanho mínimo da audiência potencial para uma campanha publicitária de 20 para 1000, mas os pesquisadores observam que isso não impede que os anunciantes direcionem grupos de menos de 1000, mas apenas que não saibam o tamanho real da audiência de destino obtida.

Os pesquisadores também observam que trabalhos anteriores demonstraram que o limite de 1000 usuários pode ser efetivamente reduzido para até 100, e que 100 usuários é o menor grupo de destino disponível para aqueles que desejam reproduzir o trabalho.

No entanto, desde que o conjunto de dados foi compilado, o Facebook adicionou ‘Mundo inteiro’ como uma área de captação potencial para a campanha, o que significa que os pesquisadores provaram sua hipótese sob restrições adicionais que não existem mais (eles tiveram que submeter um destino de localização filtrado, incluindo os 50 países onde o Facebook tem a maior presença de usuários, resultando em uma audiência potencial de 1,5 bilhão de usuários).

Dados

Os dados foram obtidos de um corpo de 2.390 usuários reais do Facebook que haviam instalado a extensão do navegador FDVT dos autores antes de janeiro de 2017, todos voluntários. A extensão fornece aos usuários uma estimativa em tempo real da receita que sua navegação gera para o Facebook, com base em dados PII e demográficos que os voluntários concordam em compartilhar com os pesquisadores.

A extensão do navegador FDVT fornecida pelos pesquisadores fornece ao usuário conectado do Facebook um fluxo de informações sobre os aspectos de privacidade e rentabilidade (para o Facebook) das atividades de navegação do usuário. Fonte: https://www.youtube.com/watch?v=Gb6mwJqHhCI

Os pesquisadores obtiveram 1,5 milhão de pontos de dados de 99.000 interesses únicos do Facebook associados aos participantes, que tinham uma mediana de 426 interesses registrados.

Os pesquisadores então calcularam uma fórmula para estabelecer o número mínimo de interesses necessário para realizar nanotargeting em um indivíduo, estabelecendo que apenas 4 “interesses marginais” são necessários, e que a probabilidade de ataque aumenta à medida que os interesses se tornam mais especializados e menos representativos de tendências de interesse amplo.

Para “interesses aleatórios” – interesses extraídos aleatoriamente do conjunto de todas as categorias de interesses disponíveis – a fórmula estimou que ’12, 18, 22 e 27 interesses aleatórios tornam um usuário único no Facebook com uma probabilidade de 50%, 80%, 90% e 95%, respectivamente’.

Resultados do modelo dos pesquisadores, calculando o número de interesses necessários para individuar um usuário sob várias restrições. Fonte: https://arxiv.org/pdf/2110.06636.pdf

Teste de Nanotargeting

Os autores criaram campanhas publicitárias direcionadas a si mesmos usando conjuntos aleatórios de interesses atribuídos pela interface de anúncios do Facebook. Embora resultados mais precisos pudessem ter sido obtidos definindo “interesses marginais”, os autores preferiram provar a aplicabilidade geral da teoria, em vez de “trapacear” usando interesses hiperespecíficos.

No canto inferior direito, o número de interesses que alimentam o anúncio é exibido dentro da interface do FDVT.

Usando vários critérios, incluindo capturas de tela do aviso “Por que estou vendo este anúncio?” incluído com os anúncios do Facebook, os autores estabeleceram critérios de sucesso em termos do alvo sendo exclusivamente servido um anúncio com base apenas em seus interesses. “Falha” foi definida por casos em que o anúncio foi mostrado não apenas ao autor, mas a outros leitores também.

Nove das 21 campanhas realizadas, com números variados de interesses como critérios de destino, “monotargetizaram” com sucesso o destinatário pretendido do anúncio, com o sucesso aumentando de acordo com o número de interesses identificados (e lembrando que “interesses aleatórios” foram usados para obter esses resultados, e não interesses criados e específicos do usuário).

Resultados do experimento de nanotargeting para os três autores contribuintes do artigo, todos os quais receberam exclusivamente pelo menos dois anúncios nanotargetizados. Múltiplas impressões para um nanotargeting bem-sucedido são o resultado do anúncio ser mostrado várias vezes ao alvo em toda a página, e não uma indicação de que alguém mais viu o anúncio.

Os autores reconhecem que o alto custo de campanhas publicitárias manipulativas do Facebook pode tornar esse tipo de ataque não viável. No entanto, verifica-se que o custo foi mínimo:

‘Infelizmente, os resultados extraídos do [Gerenciador de Campanhas do Facebook] provam que nanotargeting um usuário é bastante barato. De fato, o custo total das 9 campanhas de nanotargeting bem-sucedidas foi de apenas 0,12€. Surpreendentemente, o [Facebook] não nos cobrou nada em três das campanhas de nanotargeting bem-sucedidas que entregaram apenas 1 impressão de anúncio ao usuário alvo.

‘Portanto, em vez de um fator desencorajador, o custo extremamente baixo do nanotargeting pode encorajar os atacantes a aproveitar essa prática.’

Contornando as “Proteções” do Facebook

O artigo observa que os serviços de anúncios do Facebook têm “tamanhos de lista mínimos” que um usuário pode direcionar, tornando tecnicamente impossível carregar um indivíduo específico como um destino de campanha publicitária. No entanto, os autores observam que essas restrições são trivialmente fáceis de contornar.

Por exemplo, o relatório observa que um CEO relatou em 2017 como ele conseguiu contratar um possível funcionário de outra empresa orquestrando uma campanha publicitária do Facebook projetada apenas para atingir esse indivíduo, um homem. Isso envolveu satisfazer os critérios mínimos do Facebook (30) carregando uma lista de 29 mulheres e um homem (o alvo), e então selecionando “Masculino” como um critério de entrega.

O artigo afirma que as restrições do Facebook, embora posteriormente atualizadas, são imperfeitamente aplicadas e inconsistentes. Embora os resultados de um artigo anterior tenham forçado o gigante das mídias sociais a proibir a configuração de audiências de menos de 20 em seu Gerenciador de Campanhas de Anúncios, os autores disputam a eficácia da mudança de política, afirmando que ‘Nossa pesquisa mostra que esse limite não está sendo aplicado atualmente’.

Falsas Impressões

Além do contra-ataque cultural geral do escândalo da Cambridge Analytica, que incitou mudanças relutantes de gigantes da publicidade, como o Google, o nanotargeting de anúncios subverte a compreensão comum de que a cultura publicitária é “geral”, compartilhada, se não por todos, pelo menos por um grupo demográfico ou geográfico amplo.

Os autores do artigo apontam vários casos em que o nanotargeting foi usado de forma enganosa, incluindo a época em que, em 2017, o político do Partido Trabalhista do Reino Unido, Jeremy Corbyn, então líder do partido de oposição do governo, decretou que o Partido Trabalhista deveria executar uma campanha publicitária do Facebook para encorajar o registro de eleitores.

Os chefes do Partido Trabalhista desaprovaram a ideia, mas, em vez de entrar em conflito, simplesmente implementaram uma campanha publicitária de £5000 projetada para atingir apenas Corbyn e seus associados, bem como um número seletivo de jornalistas simpáticos. Ninguém mais viu esses anúncios.

Os autores afirmam:

‘[Nanotargeting] pode ser usado efetivamente para manipular um usuário para convencê-lo a comprar um produto ou a mudar de ideia sobre uma questão específica. Além disso, o nanotargeting pode ser usado para criar uma percepção falsa em que o usuário é exposto a uma realidade que difere do que os outros usuários veem (como aconteceu no caso de Corbyn). Finalmente, o nanotargeting pode ser explorado para implementar outras práticas prejudiciais, como chantagem.’

Eles concluem:

‘Finalmente, vale a pena notar que nosso trabalho revelou apenas a ponta do iceberg sobre como os dados não PII podem ser usados para fins de nanotargeting. Nosso trabalho se baseia exclusivamente nos interesses dos usuários, mas um anunciante pode usar outros parâmetros sociodemográficos disponíveis para configurar audiências no [Gerenciador de Anúncios do Facebook], como localização de residência (país, cidade, código postal, etc.), local de trabalho, faculdade, número de filhos, dispositivo móvel usado (iOS, Android), etc., para rapidamente reduzir o tamanho da audiência para nanotargeting um usuário.’