Facebook: ‘Нанотаргетинг’ пользователей исключительно на основе их воспринимаемых интересов

Исследователи разработали метод доставки рекламной кампании Facebook только одному человеку из 1,5 миллиарда, основанный только на интересах пользователя, и не на личной идентифицируемой информации (PII), такой как адреса электронной почты, номера телефонов или географическое местоположение, обычно связанные с скандалами «таргетинга» в последние годы.

Пользователи имеют ограниченный контроль над этими интересами, которые определяются алгоритмически на основе привычек просмотра, «лайков» и других форм взаимодействия, которые Facebook может определить, и которые включены в критерии для показа рекламы Facebook.

Поскольку интересы связаны с пользователями Facebook на основе содержания, которое они публикуют и взаимодействуют, пользователи могут быть индивидуально нацелены без явного указания своих интересов в любом из содержания, которое они публикуют, и вопреки几乎 всем текущим мерам, которые они могут предпринять для защиты себя от гипер-специфического таргетинга рекламы.

Исследование также показывает, что «нанотаргетинг» пользователей таким образом не только дешев, но иногда бесплатен, поскольку Facebook часто не взимает плату с рекламодателя за кампанию с недостаточной аудиторией (т.е. кампанию, которая достигла только одного человека).

В 2018 году исследование AdNews установило, что в среднем Facebook алгоритмически присваивает 357 интересов на пользователя, из которых 134 были оценены как «точные».

Высокие ставки интересов

Авторы новой статьи проверили свои предположения на себе, создав рекламную кампанию Facebook, предназначенную для «нанотаргетинга» авторов из потенциальной аудитории 1,5 миллиарда пользователей Facebook, на основе случайного массива целевых интересов; реклама была успешно и исключительно доставлена целевым пользователям, где было рассмотрено большее количество случайно выбранных интересов (см. таблицу результатов в конце статьи).

Исследователи оценивают, что человека можно идентифицировать и нацелить, основываясь только на их интересах, с точностью 90%, хотя количество необходимых интересов варьируется в зависимости от того, насколько распространены интересы:

‘Наши результаты показывают, что 4 редких интереса пользователя делают его уникальным в упомянутой базе пользователей с вероятностью 90%. Если мы вместо этого рассматриваем случайный выбор интересов, то 22 интереса потребуются, чтобы сделать пользователя уникальным с вероятностью 90%.’

Авторы предлагают, что этот подход к таргетингу снайпера на якобы обобщенных или полуанонимных аудиториях Facebook является только «верхушкой айсберга» в плане использования не-PII данных для отмены недавних усилий и инициатив по защите конфиденциальности пользователей после скандала с Cambridge Analytica.

Статья статья, озаглавленная Уникальный на Facebook: Формулировка и доказательство (нано)таргетинга отдельных пользователей с помощью не-PII данных, является совместной работой трех исследователей из Universidad Carlos de III в Мадриде, вместе с ученым-данным из GTD System & Software Engineering и профессором Австрийского технического университета Граца.

Методология

Исследование было проведено на наборе данных, собранном в январе 2017 года. В следующем году Facebook увеличил минимальный Потенциальный охват размера аудитории для рекламной кампании с 20 до 1000, но исследователи отмечают, что это не препятствует рекламодателям нацеливаться на группы менее 1000, но только не позволяет знать фактический размер целевой аудитории.

Исследователи также отмечают, что предыдущая работа демонстрировала, что ограничение в 1000 пользователей может быть эффективно снижено до 100, и что 100 пользователей является наименьшей целевой группой, доступной для тех, кто хочет воспроизвести работу.

Однако, поскольку набор данных был скомпилирован, Facebook добавил ‘Весь мир’ как потенциальную зону охвата для кампании, что означает, что исследователи доказали свою гипотезу под дополнительными ограничениями, которые больше не существуют (им пришлось вместо этого представить целевую локацию, включающую 50 стран с наибольшим количеством пользователей Facebook, в результате чего получилась потенциальная аудитория 1,5 миллиарда пользователей).

Данные

Данные были получены из набора 2 390 реальных пользователей Facebook, которые установили расширение браузера FDVT авторов до января 2017 года, все добровольцы. Расширение предоставляет пользователям оценку дохода, который их просмотр генерирует для Facebook, на основе PII и демографических данных, которые добровольцы соглашаются поделиться с исследователями.

Расширение браузера FDVT, предоставленное исследователями, дает зарегистрированному пользователю Facebook поток информации о конфиденциальности и прибыльности (для Facebook) их деятельности просмотра. Источник: https://www.youtube.com/watch?v=Gb6mwJqHhCI

Исследователи получили 1,5 миллиона точек данных из 99 000 уникальных интересов Facebook, связанных с участниками, которые имели медиану 426 зарегистрированных интересов.

Исследователи затем рассчитали формулу для определения минимального количества интересов, необходимых для «нанотаргетинга» на отдельного человека, установив, что только 4 «маргинальных» интереса требуются, и что вероятность атаки увеличивается по мере того, как интересы становятся более специализированными и менее представительными для широких тенденций интересов.

Для «случайных интересов» – интересов, выбранных произвольно из пула всех доступных категорий интересов – формула оценила, что ’12, 18, 22 и 27 случайных интересов делают пользователя уникальным на Facebook с вероятностью 50%, 80%, 90% и 95% соответственно’.

Результаты модели исследователей, вычисляющей количество интересов, необходимых для индивидуализации пользователя при различных ограничениях. Источник: https://arxiv.org/pdf/2110.06636.pdf

Тест нанотаргетинга

Авторы создали целевые рекламные кампании, направленные на себя, используя случайные наборы интересов, назначенных интерфейсом рекламы Facebook. Хотя более точные результаты можно было получить, установив «маргинальные» интересы, авторы предпочли доказать широкую применимость теории, а не «жульничать», опираясь на гипер-специфические интересы.

В правом нижнем углу количество интересов, запускающих рекламу, отображается в интерфейсе FDVT.

Используя несколько критериев, включая снимки уведомления «Почему я вижу эту рекламу?», включенного с рекламой Facebook, авторы установили критерии для успеха в плане того, что целевая аудитория исключительно получает рекламу на основе их интересов alone. «Неудача» была определена случаями, когда реклама была показана не только автору, но и другим читателям.

Девять из 21 кампании, проведенные с различным количеством интересов в качестве целевых критериев, успешно «монотаргетили» предполагаемого получателя рекламы, с успехом, увеличивающимся в соответствии с количеством определенных интересов (и помня, что «случайные» интересы были использованы для получения этих результатов, а не созданные и пользовательские интересы).

Результаты эксперимента нанотаргетинга для трех соавторов статьи, все из которых исключительно получили как минимум две нанотаргетированные рекламы. Множественные впечатления от успешного нанотаргетинга являются результатом показа рекламы несколько раз целевой аудитории на страницах, и не являются указанием на то, что кто-то еще увидел рекламу.

Авторы признают, что высокая стоимость манипулятивных рекламных кампаний Facebook может сделать этот вид атаки неосуществимым. Однако оказывается, что стоимость была минимальной:

‘К сожалению, результаты, извлеченные из [Facebook] Ad Campaign Manager, [доказывают], что нанотаргетинг пользователя довольно дешев. Действительно, общая стоимость 9 успешных кампаний нанотаргетинга составила только 0,12€. Удивительно, что [Facebook] не взимал с нас ничего в трех успешных кампаниях нанотаргетинга, которые доставили только 1 впечатление от рекламы целевой аудитории.

‘Следовательно, вместо того, чтобы быть сдерживающим фактором, чрезвычайно низкая стоимость нанотаргетинга может побудить атакующих использовать эту практику.’

Обход защиты Facebook

В статье отмечается, что сервисы рекламы Facebook имеют «минимальные размеры списков», которые пользователь может нацелить, технически делая невозможным загрузить конкретного человека в качестве целевой аудитории для рекламной кампании. Однако авторы наблюдают, что эти ограничения легко обойти.

Например, в отчете отмечается, что генеральный директор отчитался в 2017 году о том, как он смог переманить потенциального сотрудника из другой компании, организовав кампанию Facebook, предназначенную только для того, чтобы достичь этого целевого человека, мужчины. Это включало удовлетворение минимальных (30) критериев Facebook, загрузив список 29 женщин и 1 мужчины (цель), а затем выбрав «Мужчина» в качестве критерия доставки.

Статья утверждает, что ограничения Facebook, хотя и были обновлены, несовершенны и не последовательны. Хотя результаты предыдущей статьи заставили социальный медиа-гиганта запретить настройку аудитории менее 20 в Ads Campaign Manager, авторы оспаривают эффективность изменения политики, заявляя, что ‘Наши исследования показывают, что это ограничение в настоящее время не применяется’.

Ложные впечатления

Помимо общей культурной реакции на скандал Cambridge Analytica, который вызвал неохотное изменение рекламных гигантов, таких как Google, нанотаргетинг рекламы подрывает общее понимание того, что рекламная культура является «общей» культурой, разделяемой, если не всеми, то хотя бы широкой демографической или географической группой.

Авторы статьи указывают на ряд случаев, когда нанотаргетинг использовался обманчивым образом, включая время в 2017 году, когда британский политик лейбористской партии Джереми Корбин, тогда лидер оппозиции, постановил, что лейбористам следует провести кампанию Facebook по регистрации избирателей.

Руководители лейбористской партии не одобрили эту идею, но вместо того, чтобы вступить в конфликт, просто реализовали кампанию стоимостью £5000, предназначенную только для того, чтобы нацелиться на Корбина и его ближайшее окружение, а также на небольшую группу сочувствующих журналистов. Никто другой не увидел эти рекламы.

Авторы заявляют:

‘[Нанотаргетинг] можно эффективно использовать для манипулирования пользователем, чтобы убедить его купить продукт или изменить свое мнение по поводу конкретного вопроса. Кроме того, нанотаргетинг можно использовать для создания ложного впечатления, при котором пользователь подвергается реальности, отличной от того, что видят другие пользователи (как это произошло в случае с Корбином). Наконец, нанотаргетинг можно использовать для реализации других вредных практик, таких как шантаж.’

Они заключили:

‘Наконец, стоит отметить, что наша работа показала только верхушку айсберга того, как не-PII данные можно использовать для целей нанотаргетинга. Наша работа основана исключительно на интересах пользователей, но рекламодатель может использовать другие доступные социально-демографические параметры для настройки аудитории в [Facebook] Ads Manager, такие как местоположение дома (страна, город, почтовый индекс и т. д.), место работы, колледж, количество детей, мобильное устройство (iOS, Android) и т. д., чтобы быстро сузить размер аудитории до нанотаргетинга пользователя.’