Facebook: «нанотаргетування» користувачів виключно на основі їхніх передбачуваних інтересів

Дослідники розробили метод проведення рекламної кампанії у Facebook лише одній людині з 1.5 мільярда, ґрунтуючись лише на інтересах користувача, а не на персональній інформації (PII), як-от адреси електронної пошти, номери телефонів або типове географічне розташування. пов’язані зі скандалами «націлювання» останніх років.

Користувачі мають обмежений контроль над цими інтересами, які алгоритмічно визначаються на основі звичок веб-перегляду, «лайків» та інших форм взаємодії, які може ідентифікувати Facebook, і які включені до критеріїв показу реклами Facebook.

Оскільки інтереси пов'язані з користувачами Facebook заснований на вміст, який вони публікують і з яким взаємодіють, користувачі можуть бути індивідуально націлені, ніколи не вказуючи чітко, які їхні інтереси в будь-якому вмісті, який вони публікують, і на противагу майже всім поточним заходам, які вони можуть вжити, щоб захистити себе від гіперспецифічних націлювання реклами.

Дослідження також показує, що «нанотаргетування» користувачів таким чином не тільки дешеве, але й час від часу безкоштовно, оскільки Facebook часто не стягуватиме плату з рекламодавця за недостатньо охоплену кампанію (тобто кампанію, яка охопила лише одну особу).

У 2018 році AdNews вчитися встановлено, що в середньому Facebook алгоритмічно призначає 357 інтересів одному користувачеві, з яких 134 були оцінені як «точні».

Високі процентні ставки

Автори нової статті перевірили її припущення на собі, створивши рекламну кампанію у Facebook, призначену для «нанотаргетингу» на авторів із потенційної аудиторії в 1.5 мільярда користувачів Facebook на основі випадкового набору цільових інтересів; реклама була успішно та ексклюзивно доставлена ​​до цілей, де враховувалася більша кількість випадково вибраних інтересів (див. таблицю результатів у кінці статті).

Дослідники підрахували, що особу можна ідентифікувати та націлити лише на основі її інтересів із точністю 90%, хоча необхідна кількість інтересів залежить від того, наскільки спільні інтереси:

«Наші результати показують, що 4 найрідкісніші інтереси користувача [Facebook] роблять його унікальним у згаданій базі користувачів з імовірністю 90%. Якщо натомість ми розглянемо випадковий вибір інтересів, то для того, щоб зробити користувача унікальним з імовірністю 22%, знадобиться 90 інтереси».

Автори припускають, що цей підхід до снайперського націлювання на нібито узагальнену або напіванонімну аудиторію користувачів Facebook є лише «верхівкою айсберга» з точки зору використання даних, які не є ідентифікаційною інформацією, щоб скасувати нещодавні зусилля та ініціативи щодо захисту конфіденційності користувачів. компанії Cambridge Analytica.

Команда папір, Під назвою Унікальний у Facebook: Формулювання та докази (нано)націлювання на окремих користувачів за допомогою даних, які не містять ідентифікаційної інформації, є результатом співпраці між трьома дослідниками з Університету Карлоса де III у Мадриді, а також спеціалістом із обробки даних з GTD System & Software Engineering та професором австрійського Технологічного університету Граца.

Методологія

Дослідження було проведено на основі даних, зібраних у січні 2017 року. Наступного року Facebook збільшив мінімальний Потенційний охоплення розмір натовпу для рекламної кампанії від 20 до 1000, але дослідники зазначають, що це не заважає рекламодавцям орієнтуватися на групи менше ніж 1000, а лише від знання фактичного розмір отриманої цільової аудиторії.

Дослідники також відзначають, що попередні роботи були продемонстрований що обмеження в 1000 користувачів можна фактично знизити до 100, і що 100 користувачів є найменшою доступною цільовою групою для тих, хто хоче відтворити роботу.

Однак, оскільки набір даних було складено, Facebook додав 'Цілий світ' як потенційну зону охоплення кампанії, що означає, що дослідники підтвердили свою гіпотезу за додаткових обмежень, яких більше не існує (замість цього вони повинні були подати відфільтроване цільове місцеположення, включаючи 50 країн, де Facebook має найбільшу кількість користувачів, що призвело до потенційна аудиторія 1.5 млрд користувачів).

дані

Дані були отримані від 2,390 справжніх користувачів Facebook, які встановили програму авторів FDVT браузер розширення (див. зображення нижче та відео в кінці статті) до січня 2017 року, усі добровольці. Розширення надає користувачам оцінку в реальному часі прибутку, який їхній перегляд приносить Facebook, на основі ідентифікаційної інформації та демографічних даних, якими волонтери погоджуються поділитися з дослідниками.

Розширення для браузера FDVT, надане дослідниками, надає користувачу Facebook, який увійшов у систему, потік інформації про аспекти конфіденційності та прибутковість (для Facebook) дій користувача у веб-переглядачі. Джерело: https://www.youtube.com/watch?v=Gb6mwJqHhCI

Дослідники отримали 1.5 мільйона точок даних з 99,000 426 унікальних інтересів у Facebook, пов’язаних з учасниками, які мали в середньому XNUMX зареєстрованих інтересів.

Потім дослідники розрахували формулу для встановлення мінімальної кількості інтересів, необхідних для здійснення нанотаргетування на індивідуумі, встановивши, що потрібні лише 4 «граничні» інтереси, і ймовірність нападу зростає, оскільки інтереси стають більш спеціалізованими та менш репрезентативними для широких інтересів. тенденції.

Для «випадкових інтересів» – інтересів, обраних довільним чином із сукупності всіх доступних категорій інтересів – формула оцінила, що «12, 18, 22 і 27 випадкових інтересів роблять користувача унікальним у FB з імовірністю 50%, 80%, 90% і 95% відповідно».

Результати моделі дослідників, обчислення кількості інтересів, необхідних для індивідуалізації користувача за різними обмеженнями. Джерело: https://arxiv.org/pdf/2110.06636.pdf

Тест нанотаргетування

Автори створили цільові рекламні кампанії, націлені на себе, використовуючи випадкові набори інтересів, призначених рекламним інтерфейсом Facebook. Хоча більш точні результати можна було б отримати, встановивши «граничні» інтереси, автори вважали за краще доводити широку застосовність теорії, а не «обманювати», використовуючи гіперспецифічні інтереси.

У нижньому правому куті в інтерфейсі FDVT відображається кількість інтересів, які забезпечують рекламу.

Використовуючи кілька критеріїв, зокрема знімки запиту "Чому я бачу це оголошення?" сповіщення, включене до оголошень у Facebook, автори встановили критерії успіху з точки зору того, що об’єктам реклами показують рекламу виключно на основі їхніх інтересів. «Провал» визначали випадки, коли рекламу показували не лише автору, а й іншим читачам.

Дев’ять із 21 запущеної кампанії з різною кількістю інтересів як цільових критеріїв успішно «монотаргетувалися» передбачуваного одержувача реклами, при цьому успіх зростав відповідно до кількості виявлених інтересів (і пам’ятаючи, що «випадкові» інтереси використовувалися для отримання ці результати, а не створені та специфічні інтереси користувача).

Результати експерименту з нанотаргетуванням для трьох авторів статті, кожен з яких ексклюзивно отримав принаймні дві нанотаргетовані реклами. Кілька показів для успішного нанотаргетування є результатом того, що реклама кілька разів показується цільовій особі на різних показах сторінки, а не ознакою того, що її бачив хтось інший.

Автори визнають, що висока вартість маніпулятивних рекламних кампаній у Facebook може зробити такий вид атаки неможливим. Однак виявляється, що вартість була мінімальною:

«На жаль, результати, отримані з [Facebook] Ad Campaign Manager [доводять], що нанотаргетинг на користувача досить дешевий. Дійсно, загальна вартість 9 успішних кампаній нанотаргетування становила лише 0.12 євро. Дивно, але [Facebook] нічого не стягував з нас у трьох успішних нанотаргетингових кампаніях, які забезпечили лише 1 показ реклами цільовому користувачеві.

«Отже, надзвичайно низька вартість нанотаргетування може спонукати зловмисників використовувати цю практику, а не знеохочувальний фактор».

Обхід «захисту» Facebook

У документі зазначається, що рекламні служби Facebook мають «мінімальні розміри списків», на які користувач може орієнтуватися, що технічно унеможливлює завантаження конкретної особи як цільової рекламної кампанії. Однак автори відзначають, що ці обмеження є нещиро тривіальними для обходу.

Наприклад, зазначається у звіті, генеральний директор повідомляє у 2017 році, як він зміг переманити потенційного співробітника з іншої компанії, організувавши кампанію у Facebook, розроблену лише для досягнення цієї цільової особи, чоловіка. Це передбачало виконання мінімальних (30) критеріїв Facebook шляхом завантаження списку з двадцяти дев’яти жінок і одного чоловіка (ціль), а потім вибору «Чоловіка» як критерію доставки.

Газета стверджує, що обмеження Facebook, хоч і оновлені згодом, застосовуються неналежним чином і непослідовні. Тоді як результати ан попередній папір змусив гіганта соціальних медіа заборонити налаштування аудиторій менше 20 у своєму Ads Campaign Manager, автори заперечують ефективність зміни політики, заявляючи, що «Наше дослідження показує, що цей ліміт наразі не застосовується».

Помилкові враження

Крім загальної культурної реакції від скандалу Cambridge Analytica, який спровокував неохоча зміна від рекламних гігантів, таких як Google, нанотаргетування реклами підриває здорове розуміння того, що культура реклами є «загальною» культурою, яку поділяють якщо не всі, то принаймні широка демографічна чи географічна група.

Автори статті вказують на низку випадків, коли нанотаргетування використовувалося в оманливий спосіб, у тому числі в 2017 році, коли британський лейбористський політик Джеремі Корбін, тодішній лідер урядової опозиційної партії, постановив, що лейбористи повинні провести рекламну кампанію у Facebook, щоб заохотити виборців. реєстрація.

Керівники лейбористської партії не схвалили цю ідею, а не вступали в конфлікт, а просто реалізував рекламну кампанію на £5000 спрямований лише на Корбіна та його соратників, а також на вибрану кількість співчуваючих журналістів. Більше ніхто не бачив цю рекламу.

Автори стверджують:

«[Нанотаргетинг] можна ефективно використовувати для маніпулювання користувачем, щоб переконати його купити продукт або переконати його змінити свою думку щодо певного питання. Крім того, нанотаргетування можна використовувати для створення фальшивого сприйняття, в якому користувач піддається дії реальності, яка відрізняється від того, що бачать інші користувачі (як це сталося у випадку з Корбіном). Нарешті, нанотаргетування можна використати для реалізації деяких інших шкідливих методів, таких як шантаж».

Вони роблять висновок:

«Нарешті, варто зазначити, що наша робота виявила лише верхівку айсберга щодо того, як дані, не пов’язані з ідентифікаційною інформацією, можуть використовуватися для цілей нанотаргетування. Наша робота залежить виключно від інтересів користувачів, але рекламодавець може використовувати інші доступні соціально-демографічні параметри для налаштування аудиторії в [Facebook] Ads Manager, як-от місце проживання (країна, місто, поштовий індекс тощо), місце роботи, коледж , кількість дітей, використовуваний мобільний пристрій (iOS, Android) тощо, щоб швидко звузити розмір аудиторії для нанонацілювання на користувача».