Как индустрия таргетированной рекламы делает ваши данные уязвимыми

Наши персональные данные — топливо для индустрии онлайн-рекламы и цифровой экономики в целом. Но выгоду из этого извлекаем не мы, а рекламные компании. Они получают огромную прибыль, продавая информацию о нас, часто без нашего ведома или согласия. И уж о компенсации вреда они точно не думают.

Несмотря на беспрецедентный размах этой торговли, оборот в полтриллиона долларов и множество участников, мы почти ничего о ней не знаем.

Давайте приоткроем завесу тайны.

Ваши данные продаются на аукционе каждую миллисекунду

Почти в каждом приложении есть реклама. Может показаться, что она случайна и появляется в случайных местах, но это не так. Скорее всего, реклама нацелена именно на вас. Это значит, что другой пользователь этого же приложения скорее всего увидит совершенно другую рекламу. Давайте подробно разберём весь процесс подбора рекламы.

Представьте, что вы пользуетесь приложением, в котором предусмотрено место для рекламы (а вполне вероятно, что так и есть, ведь более трети владельцев приложений зарабатывают на рекламе). Приложение хочет продать это место тому, кто предложит наибольшую цену. Оно отправляет запрос на платформу, которая соединяет владельцев приложений с рекламодателями, например Google Ads. Затем эта платформа отправляет запрос на другую платформу, управляющую рекламной биржей — местом, где рекламные места продаются на аукционе в режиме реального времени. Рекламная биржа затем передаёт запрос на другие платформы, которые представляют цифровых рекламодателей, таких как Facebook Ads Manager или Google Display & Video 360. Они анализируют информацию о вашем устройстве и вашем поведении в интернете и решают, сколько они готовы заплатить за возможность показать вам рекламу. Весь этот процесс, известный как торги в реальном времени (real-time bidding или RTB), происходит за миллисекунды, и победитель получает возможность показать свою рекламу на вашем экране.

Но есть одна загвоздка: ваши данные видит не только победитель аукциона, но и все участники торгов, конкурирующие за рекламное пространство. Это происходит, поскольку не существует чётких правил или стандартов обработки и защиты данных, передаваемых в ходе торгов. А это значит, что проигравшие аукцион участники всё равно могут использовать информацию о вашем устройстве, использовании приложений и о местоположении в своих целях. В каких именно? Скоро мы это узнаем.

Google и Facebook — доминирующие игроки на рынке RTB. Согласно нашим данным, на сервисы Google Ads приходится более 11% всех первичных рекламных запросов. А на Facebook Audience Network, которая поддерживает торги в мобильных приложениях и на мобильных сайтах, — около 10%. Первичные запросы — это те запросы, которые приложение отправляет для загрузки рекламы. В случае успеха они вызывают дополнительные рекламные запросы.

Applovin, ведущая биржа торгов в реальном времени в мобильных приложениях, занимает третье место с долей около 7% всех рекламных запросов. За ней следуют Amazon Ad System и израильская компания ironSource со своей рекламной биржей, — около 2,4% и 1,3% соответственно.

Помимо рекламодателей и владельцев приложений доступ к данным торгов получают брокеры данных. Их цель — не показать вам рекламу, а переработать ваши данные и продать их своим клиентам, например, государственным учреждениям. Последние, в свою очередь, могут использовать эти данные, «полученные коммерческим путём», по своему усмотрению: для наблюдения, обеспечения иммиграционного контроля и охраны порядка.

Как приложение поколения Z сливало данные о местоположении правительству США

Прекрасной иллюстрацией этой тенденции стал недавний отчёт Wall Street Journal. В нём говорится, что брокер данных Near Intelligence продавал конфиденциальные данные пользователей, в том числе из ЕС, правительственным подрядчикам США через «частные организации» вплоть «до начала этого года». Данные, собранные Near Intelligence, могли попасть в руки DCSA (Управления контрразведки и безопасности министерства обороны), NSA (Агентства национальной безопасности), NGA (Национального агентства геопространственной разведки), USAF Cyber Ops (Отделе киберопераций ВВС США), Министерства обороны и JCOS (Объединённого комитета начальников штабов).

Брокер данных получил доступ к потоку данных, проходящему через несколько рекламных бирж. И хотя эти биржи позже заявили, что Near Intelligence нарушила их условия предоставления услуг, перепродав данные и использовав их в нерекламных целях, делала она это довольно долго.

Одним из приложений, по неосторожности предоставившим данные Near Intelligence (а через неё правительству США), было Life360. Оно позволяет друзьям и членам семьи по обоюдному согласию отслеживать местоположение друг друга. Это приложение, разработанное в Сан-Франциско, пользуется особой популярностью у поколения Z и было названо «самой популярной покупкой к школе». Для работы приложения требуется множество разрешений, например доступ к приблизительному местоположению, когда приложение неактивно, и доступ к точному местоположению при его использовании. Чем больше разрешений требует приложение, тем больше данных оно может передать своим рекламным партнерам, и тем потенциально ценнее эти данные для правительства.

Нередко, когда информация о сомнительной практике использования данных всплывает на поверхность и начинаются разборки, разработчики приложений заявляют о пересмотре своего подхода. Но часто этим заявлениям грош цена: разработчики продолжают вести бизнес как обычно или с незначительными корректировками.

Отдельное расследование The Markup, проведённое ещё в декабре 2021 года, показало, что компания Life360 продавала точные данные о местоположении пользователей примерно десятку партнеров и зарабатывала на этом немалые деньги. Затем Life360 заявила, что прекратит продавать данные брокерам, но отметила, что продолжит продавать точные данные о местоположении и «агрегированные» данные о местоположении аналитическим компаниям. И хотя Near Intelligence нарушала условия предоставления услуг Life360, передавая данные правительственным агентствам, компания, похоже, делала недостаточно, чтобы предотвратить подобную ситуацию.

Чаще, чем вы думаете

Практика получения правительственными агентствами доступа к конфиденциальным данным пользователей посредством серых схем — без ордера или легальных оснований — весьма распространена. Это особенно хорошо заметно в странах, где законы о защите данных не слишком сильны — то есть практически везде, кроме ЕС. Брокеры данных участвуют в этой подпольной торговле без всяких угрызений совести, готовые понести любой возможный репутационный ущерб.

Брокеры данных получают данные не только через рекламные биржи, но и через приложения. Некоторые приложения могут сообщать точное местоположение, другие — тип вашего устройства, ваше имя, номер телефона… список можно продолжать. Важно отметить, что все эти кусочки данных привязаны к уникальному идентификатору, присвоенному вашему устройству. Постепенно брокер данных узнаёт о вас всё больше, получая информацию из различных приложений и других онлайн и оффлайн источников, таких как профили в социальных сетях и публичные записи. В итоге брокер данных может составить ваш индивидуальный профиль.

Однин из брокеров, получивших дурную славу за добычу данных из приложений, — SafeGraph, дело которого мы подробно рассматривали в прошлом году. Вкратце, SafeGraph получил доступ к данным о местоположении пользователей приложений, которые использовали его SDK — набор инструментов для разработки программного обеспечения. По своей сути SDK — это кусочки кода, которые разработчики используют для экономии времени и денег. В них заключены готовые функции, например, отслеживание местоположения. Разработчики также могут получать деньги от брокеров за передачу данных своих пользователей через SDK. Получается, что если вы позволите приложению получить доступ к вашему местоположению, SDK этого приложения также сможет получить доступ к нему и отправить его брокеру.

На самом деле практика обмена данными, а точнее, их продажи, настолько распространена, что в примерах нет недостатка. Вот лишь некоторые из них:

• В мае 2022 года был опубликован отчёт, согласно которому правительственные агентства США, такие как ICE, покупали миллиарды точек данных у частных компаний без какого-либо контроля. И всякий раз, когда эта практика подвергалась критике, правительство находило способ обойти ограничения. Например, после того как в штате Орегон запретили передавать данные штата в ICE, Орегонская служба контроля транспорта продала записи о водительских правах брокерам данных, чтобы ICE могла получить к ним доступ.

• В марте 2021 года издание Vice's Motherboard сообщило, что американское военное подразделение, которое управляет беспилотниками и разведкой, покупает геолокационные данные у обычных приложений с помощью инструмента под названием Locate X, разработанного брокером Babel Street.

• В ноябре 2020 года стало известно, что американские военные купили данные о местоположении у приложения для мусульманских молитв — один из самых примечательных случаев на сегодняшний день.

Больше не секрет

Уже много лет известно, что если правительство не может законно получить ваши данные, оно может использовать обходной путь — купить их на онлайн-рынке данных. Эта практика настолько хорошо задокументирована, что в какой-то момент даже правительство США перестало притворяться. В марте этого года директор ФБР Кристофер Врей впервые признал, что ФБР покупало у частных компаний информацию о местоположении американских телефонов. Однако он заявил, что в какой-то момент ведомство прекратило это делать. Но только вам решать, принимать ли его слова за чистую монету.

Что вы можете сделать, чтобы правительство не отслеживало вас с помощью таргетированной рекламы?

Вы можете почувствовать полное бессилие перед лицом этой машины по сбору и продаже данных, каждый винтик которой призван выжимать из вас информацию для получения прибыли. Без надёжного законодательства, запрещающего правительственным агентствам получать данные от частных компаний, эта практика, скорее всего, будет продолжаться. Во-первых, потому что правительству гораздо проще получать данные таким образом, а во-вторых, потому что это приносит неплохую прибыль.

Что вы можете сделать, так это уменьшить количество следов, которые вы оставляете в интернете, и скрыть те, которые вы неизбежно оставите. Есть несколько шагов, которые вы можете предпринять, чтобы защитить свои данные от слежки:

• Отключите или сбросьте свой рекламный идентификатор. Ваш рекламный идентификатор — это уникальный номер, присвоенный вашему устройству. Брокеры данных используют его, чтобы аккумулировать данные о вас из разных источников. Если вы отключите (что не всегда возможно) или сбросите рекламный идентификатор, это сделает миссию брокеров данных по созданию вашего профиля если не невозможной, то более сложной.

• Не давайте приложениям лишних разрешений. Многие приложения запрашивают разрешения, которые им на самом деле не нужны, например доступ к вашему местоположению, камере, контактам и т. д. Они могут использоваться для сбора и передачи ваших данных посредникам. Проверить и изменить разрешения приложений можно в настройках устройства. Кроме того, даже если приложению действительно требуются определённые разрешения (например, приложению для определения погоды нужен доступ к вашему местоположению), будьте рассудительны, предоставляя их. Прежде чем загружать приложение, изучите его правила конфиденциальности, почитайте отзывы и проверьте, нет ли новостей о том, как оно передаёт данные.

• Используйте блокировщик рекламы. Мы никогда не устанем повторять: каждый рекламный запрос — запрос вашего браузера на загрузку рекламы — также является трекинговым запросом! Блокировщик рекламы не только предотвратит загрузку рекламы, но и остановит работу скриптов, которые отслеживают ваше поведение и интересы в интернете. Ранее в этом году мы подсчитали, что запросы на отслеживание рекламы составляют около 19,6% интернет-трафика, и большинство этих запросов являются «скрытыми». Другими словами, они зависят от первоначальных рекламных запросов и загрузки других рекламных доменов.

• Постарайтесь меньше использовать «бесплатные» сервисы. Помните, если вы не платите за них, то вы не клиент, а товар.