Facebook：仅根据用户感知的兴趣进行“纳米定位”

研究人员开发出一种方法，可以仅根据用户的兴趣，而不是个人身份信息（PII），例如通常与近年来的“定位”丑闻相关的电子邮件地址、电话号码或地理位置，向 1.5 亿人中的一个人投放 Facebook 广告活动。

用户对这些兴趣的控制有限，这些兴趣是根据浏览习惯、“喜欢”和 Facebook 能够识别的其他形式的互动通过算法确定的，并且包含在投放 Facebook 广告的标准中。

由于兴趣与 Facebook 用户相关 基于 在他们发布和互动的内容上，用户可以被单独定位，而无需明确说明他们对他们发布的任何内容的兴趣是什么，这与他们可能采取的几乎所有当前保护自己免受超特定行为的措施相反。广告定位。

研究还表明，以这种方式“纳米定位”用户不仅成本低廉，而且偶尔 免费，因为 Facebook 通常不会针对服务不足的营销活动（即只影响到一个人的营销活动）向广告商收取费用。

2018年一则广告新闻 根据一项研究， 确定 Facebook 平均通过算法为每个用户分配 357 个兴趣，其中 134 个被评为“准确”。

高利率

新论文的作者们在自己身上测试了其中的假设，他们创建了一个 Facebook 广告活动，旨在根据随机排列的目标兴趣，从 1.5 亿 Facebook 用户的潜在受众中对作者进行“纳米目标”定位；广告成功且专门地投放到了考虑到更多随机选择的兴趣的目标（见文章末尾的结果表）。

研究人员估计，仅根据个人的兴趣即可识别和定位个人，准确率达 90%，不过所需兴趣的数量取决于兴趣的共同程度：

我们的结果表明，用户最稀缺的 4 个 [Facebook] 兴趣，有 90% 的概率使其在上述用户群中独一无二。如果我们考虑随机选择兴趣，那么需要 22 个兴趣才能以 90% 的概率使用户独一无二。

作者认为，这种针对所谓的广义或半匿名 Facebook 用户群体的狙击手式攻击方式只是利用非 PII 数据来抵消剑桥分析公司事件后保护用户隐私的努力和举措的“冰山一角”。

这个 纸名为 Facebook 的独特之处：使用非 PII 数据（纳米）定位个人用户的制定和证据，是马德里卡洛斯三世大学的三位研究人员与 GTD 系统与软件工程的数据科学家以及奥地利格拉茨技术大学的一位教授合作完成的。

研究方法

这项研究是在 2017 年 XNUMX 月收集的数据集上进行的。次年，Facebook 提高了最低要求 潜在影响力 广告活动的人群规模从 20 到 1000 人不等，但研究人员指出，这并不能阻止广告商瞄准少于 1000 人的人群，而只是了解实际的人群规模。 尺寸 获得的目标受众。

研究人员还指出，之前的工作已经 证明 1000 个用户的限制可以有效地降低到 100 个，并且 100 个用户是希望复制该作品的最小目标群体。

然而，自数据集编译以来，Facebook 添加了 “整个世界” 作为该活动的潜在覆盖区域，这意味着研究人员在不再存在的额外限制下证明了他们的假设（他们必须提交一个过滤后的位置目标，其中包括 Facebook 用户最多的 50 个国家/地区，从而导致1.5 亿用户的潜在受众）。

时间

这些数据来自 2,390 名安装了作者的 FDVT 浏览器 延期 （见下图和文章末尾的视频）2017 年 XNUMX 月之前，所有志愿者。 该扩展程序根据志愿者同意与研究人员共享的 PII 和人口统计数据，为用户提供其浏览为 Facebook 带来的收入的实时估算。

研究人员提供的 FDVT 浏览器扩展为登录的 Facebook 用户提供了有关用户浏览活动的隐私方面和盈利能力（对于 Facebook 而言）的信息流。 资料来源：https://www.youtube.com/watch?v=Gb6mwJqHhCI

研究人员从与参与者相关的 1.5 个独特的 Facebook 兴趣中获得了 99,000 万个数据点，这些参与者的注册兴趣中位数为 426 个。

研究人员随后计算出一个公式，用于确定对个体进行纳米靶向攻击所需的最小兴趣数量，结果表明只需要 4 个“边际”兴趣，并且随着兴趣变得更加专业化和更不能代表广泛的兴趣趋势，攻击概率会增加。

对于“随机利益”——从所有可用利益类别中任意抽取的利益——该公式估计 “12、18、22 和 27 个随机兴趣分别以 50%、80%、90% 和 95% 的概率使用户在 FB 上成为唯一用户”.

研究人员模型的结果，计算了在各种约束条件下对用户进行个体化所需的兴趣数量。 资料来源：https://arxiv.org/pdf/2110.06636.pdf

纳米靶向测试

作者利用 Facebook 广告界面随机分配的兴趣集，创建了针对自身用户的定向广告活动。虽然设置“边际”兴趣集可以获得更精确的结果，但作者更倾向于证明该理论的广泛适用性，而不是通过输入超特定的兴趣来“作弊”。

在右下角，FDVT 界面中显示了支持广告的兴趣数量。

作者运用多项标准，包括 Facebook 广告中“我为什么会看到这则广告？”通知的快照，建立了成功的标准：目标受众是否仅根据其兴趣获得广告。“失败”则定义为广告不仅向作者展示，还向其他读者展示。

在开展的 21 个活动中，有 XNUMX 个以不同数量的兴趣作为目标标准，成功地“单一定位”了广告的目标接收者，并且成功率随着所识别的兴趣数量的增加而上升（请记住，这些结果是使用“随机”兴趣而不是精心设计的兴趣和针对用户的兴趣来获取的）。

该论文的三位撰稿人的纳米靶向实验结果，他们都专门收到了至少两个纳米靶向广告。 成功的纳米定位的多次展示是广告在页面展示中向目标多次展示的结果，并不表明其他人看到了该广告。

作者承认，操纵 Facebook 广告活动的高昂成本可能会使这种攻击变得不可行。 然而，事实证明成本是最小的：

“不幸的是，从[Facebook]广告活动管理器中提取的结果[证明]纳米定位用户的成本相当低。 事实上，9 次成功的纳米靶向活动的总成本仅为 0.12 欧元。 令人惊讶的是，在三个成功的纳米定位活动中，[Facebook] 没有向我们收取任何费用，这些活动仅向目标用户提供了 1 次广告展示。

“因此，纳米瞄准的极低成本不但不会令人沮丧，反而可能会鼓励攻击者利用这种做法。”

绕过Facebook的“保护措施”

论文指出，Facebook 的广告服务对用户可以定位的“最小列表规模”有所限制，从技术上讲，无法将特定个人上传为广告活动的目标。然而，作者指出，这些限制很容易被绕过。

例如，报告指出，一位首席执行官 报道 2017年，他策划了一场Facebook活动，专门针对目标人群——一名男性——从另一家公司挖走了一名潜在员工。为了满足Facebook的最低要求（30人），他需要上传一份包含XNUMX名女性和XNUMX名男性（目标人群）的名单，并选择“男性”作为投放标准。

该论文认为，Facebook 的限制措施虽然后来有所更新，但执行不完善，且前后矛盾。虽然 较早的论文 迫使社交媒体巨头禁止在其广告活动管理器中配置少于 20 名受众，作者对政策变更的有效性提出质疑，指出 “我们的研究表明，这一限制目前尚未实施”.

错误印象

除了剑桥分析公司丑闻引发的普遍文化反弹之外， 不情愿的改变 来自谷歌等广告巨头的广告纳米定位破坏了人们的常识性理解，即广告文化是一种“普遍”文化，即使不是所有人共享，至少也是广泛的人口或地理群体共享的文化。

该论文的作者指出了许多以欺骗方式使用纳米目标的案例，包括 2017 年英国工党政治家、当时的政府反对党领袖杰里米·科尔宾 (Jeremy Corbyn) 下令工党应该在 Facebook 上开展广告活动以鼓励选民登记。

工党领袖不同意这个想法，但他们并没有陷入冲突，只是简单地 实施了 5000 英镑的广告活动 旨在仅针对科尔宾及其同伙，以及少数有同情心的记者。 没有其他人看到这些广告。

作者指出：

“纳米定位可以有效地操纵用户，说服他们购买产品或改变他们对某个问题的看法。此外，纳米定位还可以用于制造虚假的认知，使用户接触到与其他用户不同的现实（就像科尔宾的情况一样）。最后，纳米定位还可以被用来实施其他一些有害的行为，例如敲诈勒索。”

他们得出结论：

最后，值得注意的是，我们的工作仅仅揭示了非 PII 数据如何用于纳米目标定位的冰山一角。我们的工作完全依赖于用户的兴趣，但广告商可以使用其他可用的社会人口统计参数在 [Facebook] 广告管理器中配置受众，例如家庭住址（国家、城市、邮政编码等）、工作地点、大学、子女数量、使用的移动设备（iOS、Android）等，从而快速缩小受众规模，实现纳米目标定位。