Теневые профили пользователей: рекламщики в Фейсбуке найдут вас даже по непубличному номеру телефона

    image

    Четыре дня назад на Хабре очень много шума наделала статья "Наши с вами персональные данные ничего не стоят". А знаете ли вы, что это только вершина айсберга, и что в действительности все гораздо хуже? Что скажете, если у ваших недругов окажется не только ваши паспортные данные, но и список ваших покупок в аптеке или в магазине «для взрослых», который они добудут, перенаправив вас на подконтрольный сайт через персонализированное рекламное объявление?

    Интересные подробности о системе таргетинговой и контекстной рекламы в Facebook выяснили исследователи из Бостонского университета и Принстона. Оказывается, рекламным агентства способны доставить персонализированную рекламу конкретному пользователю сети Facebook, используя его контактные данные, даже если тот не размещал их в самом профиле.

    image
    Скриншот объявления, сделанный Аланом Мисловом, с объяснением от Фейсбука, как «рекламодатель» отобрал его в свою аудиторию для показа

    Кашмир Хилл, журналистка портала Gizmodo, пишет:
    На прошлой неделе я запустила объявление в Facebook, которое было нацелено на профессора по информатике по имени Алан Мислов. Алан Мислов изучает, как конфиденциальность работает в социальных сетях и разработал теорию, согласно которой Facebook позволяет рекламодателям добираться до пользователей по контактной информации, собранной весьма нестандартными способами.

    Я помогала ему проверить эту теорию, нацеливая рекламную кампанию на его аккаунт, таким способом, который по официальным рекомендациям от Facebook не должен был сработать. Я настроила рекламу для показа пользователю учетной запись Facebook, сопоставленной с номером стационарного телефона офиса Алана Мислова. Номером, который Мислов никогда не предоставлял в Facebook.

    Алан Мислов увидел объявление всего через несколько часов


    Исследователи Гиридхари Венкатадри, Петр Сапежински и Алан Мислов из Бостонского университета вместе с Еленой Лучерини из Принстонского университета провели серию тестов, в которых в Facebook для группы тестовых учетных записей различными способами передавались сфабрикованные контактные и персональные данные. Исследователи отслеживали, стала ли эта информация доступной для рекламодателей и как именно эта информация будет ими использоваться, путем анализа статистики о размере аудитории, предоставленную рекламным кабинетом соцсети. Результаты исследования были опубликованы в виде развернутой статьи [PDF] на 18 страницах.

    Одним из многих способов, который позволяет доставить рекламу на ваше обозрение в Facebook и Instagram, является возможность рекламодателей загружать списки телефонных номеров или адресов электронной почты в виде файла. Затем алгоритмы рекламного кабинета Facebook сопоставляют контактные данные из загруженных списков с учетными записями пользователей социальной сети, связанными с этой контактной информацией. Торговец одеждой может разместить рекламу одежды в ленте Instagram у женщин, которые уже купили купили у них что-то раньше, политик может разместить рекламу в Facebook для тех, кто уже есть в его списке почтовой рассылки, или казино может делать выгодные предложения, основываясь на знании адресов электронной почты людей, предположительно зависимых от азартных игр. Facebook называет это «настраиваемой аудиторией».

    Общеизвестно, что Фейсбук использует для рекламного таргетинга всю информацию, которую Вы сами о себе добровольно предоставили, в том числе все контактные и персональные данные. Просто перейдите в раздел "контакты и основная информация", чтобы увидеть, какие адреса электронной почты и номера телефонов связаны с Вашей учетной записью, и это только лишь «стартовый пакет» того знания, что рекламодатели могут использовать для «охоты» на вас.

    Однако, Facebook для продажи рекламных показов не готов довольствоваться только той контактной информаций, которую пользователи добровольно поместили в свои профили социальной сети. Facebook также использует контактную информацию, которую пользователи передали только для целей обеспечения безопасности учетной записи, и контактную информацию, которую они сами вообще не передавали. Вместо этого такая информация, к примеру, была собрана из списков контактов других людей. Эта информация формирует скрытый от обычного взгляда цифровой след каждого пользователя социальной сети. Такой след у исследователей безопасности стало принято называть «теневой профиль» (Shadow Profile) пользователя.

    Как написано в свежей статье на Gizmodo, в частности Facebook использует информацию, которую пользователь оставляет во время двухфакторной аутентификации.

    Двухфакторная аутентификация — это протокол безопасности, по которому доступ к аккаунту открывается по предъявлению нескольких «доказательства механизма аутентификации», например пароль от аккаунта и подтверждающий одноразовый код из SMS-сообщения. В этом случае пользователь оставляет номер своего сотового телефона. Эксперты выяснили, что Facebook сохраняет эти данные и опосредовано перепродает рекламщикам, которые в свою очередь строят на этом таргетинг рекламных публикаций.

    Еще в мае 2016 года Фейсбук критиковали за создание и использование теневых профилей, причем не только для своих обычных пользователей, но и для незарегистрированных и неавторизованных посетителей ресурсов как самого Фейсбука, так и сайтов с установленными скриптами от социальной сети (кнопка «лайк», рекламные модули, и т.д).

    Кашмир Хилл удалось показать персонализированное объявление Алану Мислову именно благодаря тому, что она «целилась» в его теневой профиль. Это означает, что ваш «мусорный» адрес электронной почты, который вы используете для получения скидок по акциям или для тайных покупок в Интернете, вероятно, уже ассоциирован с вашей учетной записью и используется для таргетинга рекламных объявлений на вас.

    В апреле 2018 на слушаниях в Конгрессе США глава Фейсбука Марк Цукерберг сообщил, что не располагает информацией об использовании в его компании технологии «теневых профилей». Однако материалы из упомянутой выше статьи в очередной раз доказывают факт существования этой очень сомнительной и инвазивной практики сбора информации американской соцсетью.

    В результате даже ваши самые интимные тайны могут оказаться тайнами для кого угодно, но только не для рекламодателей в Facebook. И не так страшно, если это знание будут использовать, чтобы просто заставить вас сделать очередную спонтанную покупку. Хуже, если рекламный таргетинг теневого профиля использует уже злоумышленник для атаки на вас. Последствия могут быть весьма вариативны.

    Методы борьбы со слежкой со стороны Facebook



    1. Радикальный
    • Удалить все свои контактные и персональные данные из аккаунтов социальной сети
    • Удалить все аккаунты в социальной сети Facebook
    • Удалить все приложения с мобильных устройств, имеющих отношение к Facebook
    • Установить тотальную блокировку любых скриптов с адресов социальной сети Facebook во всех браузерах, в том числе мобильных.
    • Ну и конечно, не забывать о традиционных блокировщиках рекламы.

    2. Компромиссный
    • Если нет возмости отказаться от аккаунта в Facebook, то в настройках аккаунта в разделе «настройки рекламы» нужно полностью отключить персонализацию рекламных объявлений.

      Выглядит это так

    • Желательно сочетать эти меры с отправкой параметра "Do not Track" во всех браузерах и отключением рекламного идентификатора в мобильных устройствах Apple и Android.

    Only registered users can participate in poll. Log in, please.

    А как вы боретесь со слежкой в сети? (выбирайте не более двух вариантов)

    • 30.0%Я отключил персонификацию рекламы и сбросил рекламные идентификаторы устройств12
    • 65.0%Использую блокировщики рекламы и скрипторезки26
    • 2.5%Держу соц.сети в отдельных контейнерах Firefox1
    • 10.0%Захожу в сеть только с анонимных вкладок браузера4
    • 7.5%Использую Тor Browser3
    • 0.0%Сижу в сети только через Linux Tails0
    • 15.0%Удалил все аккаунты в соцсетях6
    • 12.5%У меня только фейковые аккаунты без настоящих фото и ФИО5
    • 5.0%Я не пользуюсь сетью интернет2
    • 32.5%Меня не волнует слежка13
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 19

      +3
      Отличное дополнение. Невольно вспомнилось, как в 2017 году во время критического бага Вконтакте, когда все пользователи получили модераторские права, обнаружились такие любопытные аналитические метрики, как «вектор интересов».

      Думаю, мы не знаем еще очень многого. И про Facebook, и про VK, и другие бесплатные социальные сети и сервисы, для которых мы — товар.
        0
        Нет аккаунта + блокировка хостов соцсетей = нет проблем.
          +3
          Но это не спасет от того, что знакомые по-прежнему будут сливать фейсбуку свои адресные книжки с вашими номерами и адресами почты.
            +2
            Прибавьте отсутствие знакомых…
              +3
              Не всем так в жизни повезло ^-)
          0
          Проблема в том, что не только «мордокнига» занимается такими тёмными делишками.
          а ВСЕ соцсети там завязли по уши.
          И для ФБ и ВК и для Иинсты есть эти скрипты, который размещаются на сайт
          и потом навешивает юзеру рекламу.
          Юзер зашёл в интернет магазин, посмотрел товар и ушёл,
          или даже положил его в корзину,
          а зайдя в фб или вк, ему вываливается окно
          «Вы смотрели товар, предлагаем купить его с хх% скидкой»
          Ну и о какой анонимности может идти речь?
          Более того, как сказано в статье, это малюсенькая вершина айсберга.
          Ибо сейчас даже!!! в офлайн РЕАЛЬНЫХ магазинах!!!
          стоят сниферы MAC и IP адресов от гаджетов (смартфоны и т.д).
          А используя отсканированные ip и mac потом связуется со всей найденной инфой
          с базой полученной от вышеупомянутых скриптов.
          И зайдя в некий магазин, потом придя домой, можно на компе обнаружить «удивительное»
          сообщение — «Вы заходили посмотреть серьги с брилиатом, предлагаем колечко со скидкой!»
          Обычный среднестатистический человек, возможно, даже не придаст этому значение,
          человек же более продвинутый, после осмысления ситуации будет просто в шоке…
            +1
            Вы одного не учли. Только у «мордокниги» есть аудитория в 2 миллиарда зарегистрированных пользователей. А у этих 2 миллиардов среди знакомых остальные 5 миллиардов. Т.е. почти полное покрытие всей популяции жителей Земли, а значит возможность глобального наблюдения!

            P.S. Инста и Ватсап отныне часть полноценная Фейсбука.
            +1

            В firefox у меня facebook живет в отдельном контейнере, и больше я не открываю никакие сайты в этом контейнере. Тоже самое google. Конечно это все полумеры, но все же.

              0
              Расскажете подробней, как вы это делаете?
                +1

                В последних версиях огнепанды можно установить дополнение Firefox Multi-Account Containers, которое разделяет куки, сессии и остальную служебную информацию по отдельным контейнерам. В принципе, можно и не устанавливать, а активировать в about:config,


                privacy.userContext.enabled = true
                privacy.userContext.longPressBehavior = 2
                privacy.userContext.ui.enabled = true

                либо добавить в папку профиля файл user.js с данными строками


                user_pref("privacy.userContext.enabled", true);
                user_pref("privacy.userContext.longPressBehavior", 2);
                user_pref("privacy.userContext.ui.enabled", true);
                  0
                  Есть специальные дополнения именно для этих популярных сайтов.
                    0

                    Суть та же. У меня этих контейнеров уже больше десятка. Зачем мне куча дополнений, когда одно работает, как надо?

                      0
                      В общем согласен. Но эти дополнения запрещают открытие любых других сайтов в своём контейнере, в отличии от Multi-Account Containers, который имеет функциональность только открытия определённых ссылок в нужном контейнере, но не запрещает открывать в контейнере фейсбука, к примеру, любой другой сайт. Так что их вполне можно комбинировать.
                        0

                        Конечно, использовать это дополнение тоже имеет смысл в некоторых случаях. Но я сам слежу, в каком контейнере какие ссылки открываю. К тому же есть сайты, которые мне нужно открывать в фейсбук контейнере, потому что я там через него зарегистрирован.

                0
                Это как Вы правильно заметили — «полумеры»,
                а значит, малоэффективно при агрессивной рекламе.
                Вы не учли один момент,
                IPшники + «Цифровой снимок» всех компов и гаджетов + «модель поведения»
                выдадут моментально конкретного пользователя даже со всякими «контейнерами»
                А всякие впн-ы, прокси и пр, могут только помочь обойти роспотребнадзоровские блокировки, но создадут только видимость анонимности.
                  0

                  Ну у меня еще все рекламные хосты заблочены в файле /etc/hosts используя данный проект так что мне хватает. Это максимум что я могу сделать. Тут уже надо компромиссные решения принимать.

                    0
                    Большое спасибо за ссылку!
                0
                В чем новость? Это очевидные вещи.

                Если ваши данные, в т.ч. номер телефона собирают, значит используют их в своих целях. Или вы верите словам про «приватность»?
                  0
                  Эти вещи очевидны не для всех. Особенно малоочевиден тот момент, что фейсбук собирает и ассоциирует с Вами и ту информацию, которую вы от своего имени в интернете не размещаете.

                Only users with full accounts can post comments. Log in, please.