Facebook sospende le stime del pubblico per le Custom Audiences
Da qualche mese, i gestori delle pagine che utilizzano le Custom Audiences di Facebook avevano notato qualcosa di strano: le stime sul pubblico raggiungibile dalle proprie campagne erano “misteriosamente” scomparse o comunque non funzionano come in precedenza, senza ulteriori spiegazioni. Ora il mistero è risolto.
Niente più stime di copertura pubblico
Come riportato anche da Rand Fishkin in un tweet, infatti, Facebook ha deciso di sospendere le stime di copertura per le sue Custom Audiences ovunque fosse possibile in precedenza (ad esempio API, Audience Insights, Campaign Reach), che pure si erano rivelate uno strumento prezioso per chi intendeva promuovere le proprie campagne sul social network più famoso del mondo, grazie alla possibilità di fare targeting ottimizzato e individuare una lista di clienti già “profilata” e rispondente alle proprie esigenze, che in passato abbia espresso un interesse verso i propri prodotti o servizi o interagito con quel brand.
Say goodbye to Facebook’s reach estimates for custom audiences. Was a valuable tool, but due to a security vulnerability, it’s being axed: https://t.co/7t4CoQyQA0
— Rand Fishkin (@randfish) 26 marzo 2018
Vulnerabilità di privacy e sicurezza
Dietro alla decisione ci sarebbe una vulnerabilità di sicurezza, che ha convinto il colosso americano ad abbandonare (o quanto meno sospendere) questo tipo di attività. Di certo deve aver pesato anche il contesto intorno a Facebook, con l’opinione pubblica negativamente scossa dalla notizia relativa a Cambridge Analytica, società di consulenze elettorali che Steve Bannon ha aiutato a fondare nel 2014 e che, stando a quanto rivelato dalla stampa (e in qualche modo confermato dallo stesso Mark Zuckerberg, che ha pubblicamente fatto ammenda) avrebbe utilizzato i dati di milioni di utenti della piattaforma social a fini elettorali e non solo.
Altri effetti dello scandalo Cambridge Analytica?
Le scuse del fondatore di Facebook sono arrivate anche attraverso una lettera aperta pubblicata sui principali quotidiani del Regno Unito e degli Stati Uniti, in cui lo stesso Zuckerberg ammette innanzitutto che “avrebbe dovuto fare di più per impedire” che i profili di milioni di utenti “fossero sfruttati dalla società“, e poi annuncia che “ora stiamo adottando misure per fare in modo che questo non avvenga più”, con indagini “su ogni singola App che ha accesso a grandi quantità di dati”.
Possibili utilizzi impropri dei dati
Insomma, sembra difficile non trovare un collegamento tra questo scandalo e la decisione di sospendere di mostrare le stime di copertura del pubblico in qualsiasi campagna che utilizzi il targeting di Custom Audience. Secondo le informazioni che trapelano, questa mossa arriva dopo che una squadra di ricerca della Northeastern University ha segnalato alla compagnia americana, tramite il programma Bug Bounty, una potenziale vulnerabilità della privacy identificata attraverso le Custom Audience.
Un inserzionista potrebbe scoprire le informazioni degli utenti
Nello specifico, il team ha trovato un exploit attraverso il quale è possibile desumere i dati di un individuo incluso in un elenco di Custom Audience, come e-mail, indirizzi o altre informazioni personali identificabili, utilizzando il rapporto di copertura stimato disponibile nell’interfaccia pubblicitaria. Le indagini degli esperti hanno mostrato che c’è una soglia di arrotondamento in quelle stime: una volta identificata questa variabile, un inserzionista potrebbe potenzialmente caricare un elenco di e-mail precisamente sulla soglia di arrotondamento, ad esempio, e quindi aggiungere una e-mail (e di conseguenza una “vittima”) all’elenco. Se le stime di copertura cambiano quando viene selezionato un attributo di targeting, l’inserzionista può dedurre che tale persona sia in possesso di quell’attributo; al contrario, se non cambiano si può inferire che la persona non ha quell’attributo.
Una violazione della privacy
A spiegare con esempi concreti quanto scoperto è Alan Mislove, professore alla Northeastern: se l’inserzionista era interessato “a determinare il mio genere, poteva aggiungere la mia e-mail a un elenco che si trova proprio sulla soglia di arrotondamento. Se avesse selezionato ‘donna’, avrebbe visto arrotondare le stime di copertura, mentre selezionando ‘uomo’ le stime non sono cambiate”, dice Mislove. In sostanza, continua l’analista, “sarebbe possibile dedurre ciascuno dei circa 1.200 attributi di targeting disponibili su Facebook che provengono da utenti e intermediari di dati di terze parti e creare profili completi di individui”, aprendo dunque a una violazione della privacy.
Un altro fattore preoccupante deriva dal fatto che gli utenti non avrebbero mai saputo che questo stava accadendo, in quanto questi “tentativi” avvengono direttamente nell’interfaccia pubblicitaria di Facebook e senza alcun costo per l’inserzionista. Insomma, una bella grana che è stata (parzialmente) risolta alla radice, provando a eliminare e far rientrare il problema.
Secondo caso in pochi mesi
Già qualche mese fa lo stesso team di ricerca della Northeastern University e MPI-SWS aveva segnalato a Facebook un altro exploit in Custom Audience, che produceva un “leak” dei numeri di telefono degli utenti; anche in quel caso, la risposta della piattaforma social fu immediata, con la rimozione delle stime di copertura per le campagne che utilizzano i dati dei clienti, poi reintrodotte proprio in questo mese di Marzo. Nel frattempo, comunque, il professor Mislove e la sua squadra hanno “esaminato altre funzionalità nell’interfaccia pubblicitaria e il modo in cui potrebbero essere utilizzate in modo improprio“, rivelando il nuovo problema.
Facebook tenta di rassicurare gli utenti
La reazione ufficiale della compagnia è stata affidata a Mary Ku, direttore di gestione prodotti di Facebook, che ha ringraziato ufficialmente i “ricercatori che hanno riscontrato questo problema”, annunciando che “abbiamo sospeso questa funzione per risolverlo. La privacy e la sicurezza delle persone sono incredibilmente importanti per Facebook, motivo per cui prendiamo molto sul serio qualsiasi potenziale abuso del nostro servizio“. Allo stesso tempo, comunque, l’azienda ha cercato di rassicurare gli utenti, dicendo che finora non ha trovato alcuna prova che i suoi strumenti siano stati usati in questo modo (anche se non è chiaro in che modo Facebook possa essere in grado di determinare le eventuali violazioni).
Di sicuro, per ora Facebook non mostrerà più la copertura potenziale nelle campagne che utilizzano il pubblico personalizzato per il targeting, cercando nel frattempo di intervenire per migliorare la vulnerabilità dei propri sistemi.
