Теневые профили пользователей: рекламщики в Фейсбуке найдут вас даже по непубличному номеру телефона

Четыре дня назад на Хабре очень много шума наделала статья "Наши с вами персональные данные ничего не стоят". А знаете ли вы, что это только вершина айсберга, и что в действительности все гораздо хуже? Что скажете, если у ваших недругов окажется не только ваши паспортные данные, но и список ваших покупок в аптеке или в магазине «для взрослых», который они добудут, перенаправив вас на подконтрольный сайт через персонализированное рекламное объявление?

Интересные подробности о системе таргетинговой и контекстной рекламы в Facebook выяснили исследователи из Бостонского университета и Принстона. Оказывается, рекламным агентства способны доставить персонализированную рекламу конкретному пользователю сети Facebook, используя его контактные данные, даже если тот не размещал их в самом профиле.


Скриншот объявления, сделанный Аланом Мисловом, с объяснением от Фейсбука, как «рекламодатель» отобрал его в свою аудиторию для показа

Кашмир Хилл, журналистка портала Gizmodo, пишет:

На прошлой неделе я запустила объявление в Facebook, которое было нацелено на профессора по информатике по имени Алан Мислов. Алан Мислов изучает, как конфиденциальность работает в социальных сетях и разработал теорию, согласно которой Facebook позволяет рекламодателям добираться до пользователей по контактной информации, собранной весьма нестандартными способами.

Я помогала ему проверить эту теорию, нацеливая рекламную кампанию на его аккаунт, таким способом, который по официальным рекомендациям от Facebook не должен был сработать. Я настроила рекламу для показа пользователю учетной запись Facebook, сопоставленной с номером стационарного телефона офиса Алана Мислова. Номером, который Мислов никогда не предоставлял в Facebook.

Алан Мислов увидел объявление всего через несколько часов

Исследователи Гиридхари Венкатадри, Петр Сапежински и Алан Мислов из Бостонского университета вместе с Еленой Лучерини из Принстонского университета провели серию тестов, в которых в Facebook для группы тестовых учетных записей различными способами передавались сфабрикованные контактные и персональные данные. Исследователи отслеживали, стала ли эта информация доступной для рекламодателей и как именно эта информация будет ими использоваться, путем анализа статистики о размере аудитории, предоставленную рекламным кабинетом соцсети. Результаты исследования были опубликованы в виде развернутой статьи [PDF] на 18 страницах.

Одним из многих способов, который позволяет доставить рекламу на ваше обозрение в Facebook и Instagram, является возможность рекламодателей загружать списки телефонных номеров или адресов электронной почты в виде файла. Затем алгоритмы рекламного кабинета Facebook сопоставляют контактные данные из загруженных списков с учетными записями пользователей социальной сети, связанными с этой контактной информацией. Торговец одеждой может разместить рекламу одежды в ленте Instagram у женщин, которые уже купили купили у них что-то раньше, политик может разместить рекламу в Facebook для тех, кто уже есть в его списке почтовой рассылки, или казино может делать выгодные предложения, основываясь на знании адресов электронной почты людей, предположительно зависимых от азартных игр. Facebook называет это «настраиваемой аудиторией».

Общеизвестно, что Фейсбук использует для рекламного таргетинга всю информацию, которую Вы сами о себе добровольно предоставили, в том числе все контактные и персональные данные. Просто перейдите в раздел "контакты и основная информация", чтобы увидеть, какие адреса электронной почты и номера телефонов связаны с Вашей учетной записью, и это только лишь «стартовый пакет» того знания, что рекламодатели могут использовать для «охоты» на вас.

Однако, Facebook для продажи рекламных показов не готов довольствоваться только той контактной информаций, которую пользователи добровольно поместили в свои профили социальной сети. Facebook также использует контактную информацию, которую пользователи передали только для целей обеспечения безопасности учетной записи, и контактную информацию, которую они сами вообще не передавали. Вместо этого такая информация, к примеру, была собрана из списков контактов других людей. Эта информация формирует скрытый от обычного взгляда цифровой след каждого пользователя социальной сети. Такой след у исследователей безопасности стало принято называть «теневой профиль» (Shadow Profile) пользователя.

Как написано в свежей статье на Gizmodo, в частности Facebook использует информацию, которую пользователь оставляет во время двухфакторной аутентификации.

Двухфакторная аутентификация — это протокол безопасности, по которому доступ к аккаунту открывается по предъявлению нескольких «доказательства механизма аутентификации», например пароль от аккаунта и подтверждающий одноразовый код из SMS-сообщения. В этом случае пользователь оставляет номер своего сотового телефона. Эксперты выяснили, что Facebook сохраняет эти данные и опосредовано перепродает рекламщикам, которые в свою очередь строят на этом таргетинг рекламных публикаций.

Еще в мае 2016 года Фейсбук критиковали за создание и использование теневых профилей, причем не только для своих обычных пользователей, но и для незарегистрированных и неавторизованных посетителей ресурсов как самого Фейсбука, так и сайтов с установленными скриптами от социальной сети (кнопка «лайк», рекламные модули, и т.д).

Кашмир Хилл удалось показать персонализированное объявление Алану Мислову именно благодаря тому, что она «целилась» в его теневой профиль. Это означает, что ваш «мусорный» адрес электронной почты, который вы используете для получения скидок по акциям или для тайных покупок в Интернете, вероятно, уже ассоциирован с вашей учетной записью и используется для таргетинга рекламных объявлений на вас.

В апреле 2018 на слушаниях в Конгрессе США глава Фейсбука Марк Цукерберг сообщил, что не располагает информацией об использовании в его компании технологии «теневых профилей». Однако материалы из упомянутой выше статьи в очередной раз доказывают факт существования этой очень сомнительной и инвазивной практики сбора информации американской соцсетью.

В результате даже ваши самые интимные тайны могут оказаться тайнами для кого угодно, но только не для рекламодателей в Facebook. И не так страшно, если это знание будут использовать, чтобы просто заставить вас сделать очередную спонтанную покупку. Хуже, если рекламный таргетинг теневого профиля использует уже злоумышленник для атаки на вас. Последствия могут быть весьма вариативны.

Методы борьбы со слежкой со стороны Facebook

1. Радикальный

• Удалить все свои контактные и персональные данные из аккаунтов социальной сети
• Удалить все аккаунты в социальной сети Facebook
• Удалить все приложения с мобильных устройств, имеющих отношение к Facebook
• Установить тотальную блокировку любых скриптов с адресов социальной сети Facebook во всех браузерах, в том числе мобильных.
• Ну и конечно, не забывать о традиционных блокировщиках рекламы.

2. Компромиссный

• Если нет возмости отказаться от аккаунта в Facebook, то в настройках аккаунта в разделе «настройки рекламы» нужно полностью отключить персонализацию рекламных объявлений.
  
  
  Выглядит это так

  
  
• Желательно сочетать эти меры с отправкой параметра "Do not Track" во всех браузерах и отключением рекламного идентификатора в мобильных устройствах Apple и Android.