Facebook non mostrerà più l’indicatore sulle dimensioni di pubblico targettizato raggiunto

Cambiamenti importanti per chi pubblica annunci e inserzioni pubblicitarie: un gruppo di ricercatori ha rivelato una nuova e falla nella gestione della privacy per il raggiungimento del pubblico targettizato da parte del colosso californiano

Facebook ha ufficialmente dichiarato che da venerdì smetterà di mostrare le stime di pubblico raggiungibile durante le campagne di advertising. La notizia è riportata sul sito Marketing Land.

Si tratta di una scelta radicale che segue la segnalazione fatta dalla Northeastern University attraverso il Programma Bug Bounty di Facebook (uno strumento partecipato per segnalare bug sul social network dietro ricompensa prima che essi siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto ). Sarebbe possibile sfruttare le oltre 1200 targettizzazioni di attributi, per ottenere profili dettagliati di singoli e individui.

Gli esperti sono riusciti ad individuare quel numero preciso di utenti attorno cui una lista di contatti mail poteva essere arrotondata.
Ovvero: supponiamo che questo numero fosse di 3000 mail di accesso a profili privati, sarebbe bastato aggiungere o rimuovere un singolo contatto, quello su cui ci interessa avere informazioni, e vedere questo indicatore spostarsi o meno nel caso che la persona legata a quella mail e quel profilo, fosse o non fosse ascrivibile ai target specifici che si ha interesse a valutare.

Così Alan Mislove, professore alla Northeastern and consulente della facoltà per il team in questione:

Per esempio, se si volesse determinare il mio genere, si potrebbe aggiungere la mia mail ad una liste che è proprio al limite dello scoccare di quest’approssimazione. Se poi si selezionasse “femmina” vedremmo “l’indicatore di pubblico raggiunto” che sale. Se venisse selezionato “maschio”, la stima non cambierebbe.

Immaginiamo, ora, un attore con abbastanza potenza di calcolo da essere in grado di poter costantemente testare tutte gli oltre 1200 attributi e le possibili combinazioni: potrebbe allora ottenere un profilo incredibilmente dettagliato di singoli individui.

LA RISOSTA DI FACEBOOK

Il social network aveva reinserito lo strumento di stima dell’audience che utilizza i dati dei clienti proprio questo Marzo, dopo lo scandalo sollevato a dicembre sempre dal team della Northeastern riguardante il furto e la conservazione da parte di Facebook di dati inerenti ai numeri di telefono . Pochi giorni fa l’opinione pubblica è rimasta fortemente turbata dallo scandalo di Cambridge Analytica, tanto che oltre alle misure ancora in corso di sviluppo, Mark Zuckerberg ha dovuto firmare una lettera di scuse in prima persona, pubblicata sui giornali inglesi.
È questo il quadro su cui è caduta l’ennesima grossa tegola.

Alla risposta ufficiale di Mary Ku, Product management director di Facebook, su quanto siano grati ai ricercatori per aver scoperto questa falla e quanto la privacy degli utenti sia fondamentale per loro, sono seguite anche delle azioni molto decise.

Facebook ha deciso di amputare di netto l’arto infetto: i numeri del “Potential Reach” non saranno più usati in alcuna campagna che comprenda una personalizzazione dei clienti, incluso l’inserimento di elenchi di mail di utenti, finché il problema non verrà risolto.

Non è chiaro come Facebook riuscirà a scoprire se qualcuno sia già stato in grado di sfruttare questo exploit.

Così scrive sul suo profilo Elena Lucherini, visiting researcher del team:

Sto indagando sulle implicazioni per la privacy dei Social Network e delle piattaforme di targeting. Questi servizi forniscono ai pubblicitari numerosissimi strumenti per selezionare direttamente gli utenti cui viene mostrata la loro pubblicità. Ad ogni modo, se non implementata con attenzione la targettizzazione diretta delle pubblicità può portare ad un’acquisizione di informazioni a vantaggio dei pubblicitari. In questo contesto, sto attuando un “reverse-engineering” alla piattaforma Facebook Ads per mostrare come i pubblicitari possano sfruttare l’interfaccia per dedurre le informazioni personali di altri utenti ed attività online. L’obiettivo finale è proporre una soluzione per prevenire potenziali attacchi, pur preservando le funzioni più utili della pubblicità per target.