Jak tomu rozumím, došlo k hacku nějakého obchodníka s daty. Z uniklých dat je zjevné, že řada populárních aplikací sdílí prostřednictvím reklamních systémů soukromá data uživatelů.
To by nebylo nic nového, ale co mě zaujalo je, že se k těm datům kromě provozovatele reklamního systému dostávají i účastníci té real-time aukce o zobrazení reklamy.
(Kdykoliv vidíte v aplikaci reklamní banner, ta reklama je výsledkem real-time aukce. Reklamní systém se zeptá zájemců, kolik dají za reklamní prostor pro takového a takového uživatele, a vítěznou reklamu ukáže.)
Myslel jsem, že ta aukce probíhá interně u provozovatele reklamního systému, ale z toho hacku plyne, že ta soukromá data, na která se přihazuje, vidí nejen výherce, ale všichni přihazující. Pro které to tedy může být senzační zdroj velmi zajímavých dat.
Ja bych nerek, ze ta data z reklamniho systemu “vytahli” ucastnici tech aukci. To by z pohledu provozovatele toho systemu nedavalo smysl. Ty aukce budou stejne jako treba prihazovani na FB. Nastavis si parametry (e.g. 1km od lokace meho obchodu, mladi lide, uzivatele aplikace XYZ…) a maximalni prihoz (e.g. $1). A vidis, jestli ti to proslo, nebo ne (jestli vysledna cena byla vyssi nebo nizsi).
To je primarni pidgin tech reklamnich systemu.
Potom ale muzes ty data vyuzit dal a prodavat je (realtime lokace, realtime vysledky aukci) tretim stranam (ne-ucastnikum tech aukci). Kteri je potom vyuzivaji pro svuj vlastni pidgin jinak nez zobrazovanim reklam.
Hezky priklad tohohle modelu je investicni appka Robinhood, ktera ma primarne poplatky z obchodu a sekundarne prodava realtime stream vsech prikazu, co pres ne uzivatele poslou. Ten stream potom treti strany laduji svym obchodujicim robotum.
“For the first time publicly, we seem to have proof that one of the largest data brokers selling to both commercial and government clients appears to be acquiring their data from the online advertising ‘bid stream,’” rather than code embedded into the apps themselves, Zach Edwards, senior threat analyst at cybersecurity firm Silent Push and who has followed the location data industry closely, tells 404 Media after reviewing some of the data.
A o kus dál:
It’s important that the data appears to be sourced through real-time bidding, because that dictates who is responsible (rogue members of the advertising industry and the tech giants that facilitate that industry), how users can protect themselves (attempting to block ads), and the fact that massive app publishers may not even be aware their users’ data is being harvested and therefore might not know how to stop it.
Taky je to zásadní z pohledu zákazníků – sdílet data s reklamní sítí, které jakž takž důvěřuješ, je něco úplně jiného než sdílet ta data nebo jejich zásadní části se všemi přihazujícími.
Ja to chapu tak, ze reklamni system prodava ten stream dat tretim stranam (ktere neprodavaji reklamu v te aukci, ale vyuzivaji ta data k necemu jinemu). Je to fakticky druhy prijem pro reklamni spolecnosti z tech stejnych dat.
Ta reklamni spolecnost to urcite ma napsane v podminkach (na strane 278). Stejne tak to ma ten Robinhood, proto jsem to zminil jako prirovnani. Ma v podminkach, ze kazdou objednavku, co pres ne udelas muze sdilet s partnery => prodava realtime stream dat.
Mhm, takže to bude některý z těch šesti milionů důvěryhodných partnerů, se kterými ta reklamní síť spolupracuje? To dává smysl, díky. I tak moje zbývající ochota sdílet ta soukromá data s kýmkoliv klesla na čistou nulu.
Dočítám si k tomu detaily; proces aukcí popisuje podrobně například tenhle text od EFF:
Kde mimo jiné píšou:
A key vulnerability of real-time bidding is that while only one advertiser wins the auction, all participants receive the data. Indeed, anyone posing as an ad buyer can access a stream of sensitive data about the billions of individuals using websites or apps with targeted ads. That’s a big way that RTB puts personal data into the hands of data brokers, who sell it to basically anyone willing to pay. Although some ad auction companies have policies against selling bidstream data, the practice remains widespread.
Já aktuálně používám trojkombinaci DNS blackhole (https://nextdns.io/), blokování trackerů v Safari (Advanced Tracking and Fingeprinting Protection pro všechny weby) a extension pro odmítání souhlasů se sledovacími cookies (https://consentomatic.au.dk/). A nevěřícně zírám, kolik toho všechna tahle opatření zablokují. Nedovedu si vůbec představit, jak vypadá běžné používání webu bez nich.