Anwälte und Wissenschaftler schlagen seit Jahren Alarm wegen der FLoC von Google. Jetzt werden ihre schlimmsten Albträume wahr.
Foto: David Ramos (Getty Images) (Getty Image .) s), Grafik: Shoshana Wodinsky (Gizmodo) (Getty Images)In den letzten Monaten wurden Millionen von Chrome-Benutzern in Googles Ursprungstests für die Technologie eingebunden, die das schnell bröckelnde Tracking-Cookie von Drittanbietern ersetzen soll. Federated Learning of Cohorts – oder kurz FLoC – ist eine neue Art von Tracking-Technik, die eine freundlichere, datenschutzfreundlichere Alternative zu den Trackern sein soll, die wir alle kennen und verabscheuen, und eine, die Google offenbar bis 2022 vollständig implementieren will .
Wie Sie es von einem Datenschutz-Push von Google erwarten können, hatten die Leute Bedenken. Viele von ihnen. Die Electronic Frontier Foundation wies darauf hin, dass das Design von FLoC für räuberisches Targeting maßgeschneidert zu sein scheint. Browser wie Firefox und Brave kündigten an, dass sie die Technologie in ihrem Browser nicht unterstützen würden, während DuckDuckGo buchstäblich eine Erweiterung erstellte, um FLoC vollständig zu blockieren. Während dieser Prozess weitergeht, finden Wissenschaftler und Aktivisten immer wieder Schlupflöcher, die den Versprechen von FLoC zum Schutz der Privatsphäre widersprechen.
Sie sind nicht die einzigen. Digiday berichtete diese Woche, dass einige wichtige Akteure der Adtech-Branche damit begonnen haben, Pläne zu entwickeln, um FLoC in etwas genauso Invasives zu verwandeln wie die Cookies, die es löschen soll. In einigen Fällen bedeutet dies, dass Unternehmen alle Datenschrotte, die sie von Google erhalten können, mit ihren eigenen Katalogen mit Benutzerinformationen zusammenführen und FLoC von einer “anonymen” Kennung in nur ein weiteres Stück personenbezogener Daten für zwielichtige Unternehmen verwandeln kompilieren. Andere haben damit begonnen, FLoC als großartiges Werkzeug für Fingerabdrücke zu präsentieren – eine besonders hinterhältige Tracking-Technik, die Sie immer wieder lokalisieren kann, egal wie oft Sie inkognito gehen oder Ihren Cache leeren.
Mittendrin schaut der beliebteste Browser der Welt, Chrome, einfach weg.
“Auch wenn Google es nicht getan hätte. Bei der Entwicklung dieser Technologie habe ich nicht über diese Dinge nachgedacht. Sobald sie dieses Zeug 2019 öffentlich gemacht haben, haben die Befürworter genau das gesagt“, sagte Bennett Cyphers, ein Technologe bei der EFF, der sich auf Adtech konzentriert. “Sie könnten sich dieses Ding einmal ansehen und sofort wissen, dass es sich in ein weiteres Tool für die Fingerabdruck- und Profilerstellung verwandelt, das Werbetreibende verwenden können.”
G/O Media kann eine Provision erhalten
15% Rabatt auf Ihre erste BestellungHum Nutrition Gummy Supplements Holen Sie es für $11 bei Hum Nutrition Verwenden Sie den Promo-Code CODE
Was soll FLoC sein und wie unterscheidet es sich von Cookies?
Googles Pitch für FLoC klingt auf den ersten Blick tatsächlich ziemlich privat. Die Drittanbieter-Cookies, die FLoC ersetzen soll, sind eine objektive Geißel für das Web. Sie zeichnen jeden Klick und jedes Scrollen beim Surfen auf, um unzählige einzigartige Profile zu erstellen, und spammen diese Profile gezielt mit Anzeigen auf mehreren Websites. FLoC macht dieses individualisierte Tracking und Targeting zunichte und teilt die Leute stattdessen basierend auf ihrem Surfverhalten in massive anonyme Kohorten ein. Diese Kohorten umfassen Tausende von Menschen und werden jede Woche ausgelöscht – was bedeutet, dass Ihre zugewiesene Kohorte (in einer perfekten Welt) nicht verwendet werden kann, um Sie aus einer Menge herauszupicken, und kann nicht verwendet werden, um Sie in der langfristig. Zumindest wird es so verkauft.
Darüber hinaus ist Ihre sich ständig ändernde FLoC-ID mit einem bedeutungslosen Durcheinander von Buchstaben und Zahlen gekennzeichnet, das nur Google entziffern kann, und dieses Durcheinander wird lokal in Ihrem Browser gespeichert und nicht in den Händen eines Drittanbieters. hab noch nie was gehört. Alles in allem soll FLoC Sie in einen namenlosen Tropfen in einem tintenfarbenen Datenmeer verwandeln, in dem alles über Sie – Ihr Name, Ihre Webhistorie, was Sie zum Mittagessen bestellt haben – tief unter der Oberfläche vergraben ist.
Anfang dieses Jahres gab Google bekannt, dass einige dieser FLoC-Kohorten für Werbetreibende verfügbar sein werden, die sie in den bevorstehenden Herkunftsversuchen des Unternehmens in Aktion sehen möchten dieses Jahr. Bisher berichtet das Unternehmen, dass es satte 33.872 verschiedene Kohorten gab, und jede Kohorte enthält Daten von „mindestens“ 2.000 Chrome-Kunden, die sich buchstäblich über Nacht für das Programm entschieden haben.
Google vergaß nicht nur, diesen Millionen von Nutzern eine grundlegende Vorwarnung zu geben, sondern gab den Nutzern auch keine Möglichkeit zu sehen, ob sie unwissentlich geworden waren Schweine in diesem globalen Experiment (zum Glück hat die EFF dies getan). Und wenn Sie Ihren Browser aus der Testversion entfernen möchten, müssen Sie dafür viel zu viele Reifen durchlaufen.
Welche Regeln gelten für FLoC? Haha… Regeln…
So früh in den Prozessen gibt es buchstäblich keine Regeln, was Werbetreibende, Adtech-Unternehmen oder sonst jemand angeht in diesen Studien können mit diesen Daten tun. Das bedeutet, dass mindestens fast 68.000 Chrome-Benutzer ihre Kohortendaten aufsaugen, auseinander analysieren und möglicherweise gerade jetzt für massive Gewinne weitergeben. (Wir haben Google um einen Kommentar zu diesen Studien gebeten).
Es ist so gut gegangen, wie Sie es erwarten. Einer der Adtech-Giganten, der an dieser Studie teilnimmt, Xaxis, sagte Digiday, dass es derzeit “eine Analyse durchführt”, um zu sehen, wie FLoC-IDs in seine eigene Cookie-Alternative, die sie “Mookies” nennen, integriert werden könnten. ” Ja wirklich. Nishant Desai, einer der Direktoren, der die technischen Abläufe von Xaxis beaufsichtigt, sagte klar, dass diese Zahlenfolgen, die FLoC ausspuckt, „eine zusätzliche Dimension dafür sind, wie man die Identität einer Person auflöst.“
Desai verglich es mit den IP-Adressen, die Marketingspezialisten seit den 90er Jahren verwendet haben, um Sie anzusprechen. Wie eine IP-Adresse kann die FLoC-ID einer Person ohne Eingabe des Benutzers von einer Webseite abgerufen werden, was es einfacher macht, sie zu erfassen als E-Mail-Adressen und Telefonnummern, bei denen normalerweise ein Benutzer die Informationen manuell übergeben muss. Wie eine IP-Adresse sind diese IDs Zahlenfolgen, die nichts über eine Person preisgeben, bis sie mit einer Reihe anderer Datenpunkte in einen Topf geworfen werden. Und wie (einige) IP-Adressen sind FLoC-IDs nicht ganz statisch – sie werden schließlich jede Woche technisch zurückgesetzt – aber sobald Sie eine bestimmte Kohorte zugewiesen bekommen, werden Sie wahrscheinlich eine Weile daran festhalten.
“Wenn sich Ihr Verhalten nicht ändert, weist der Algorithmus Sie weiterhin derselben Kohorte zu, sodass einigen Benutzern eine dauerhafte FLoC-ID zugeordnet ist — oder könnte“, sagte Desai zu Digiday.
Der Software-Ingenieur von Google, Deepak Ravichandran, hat dies kürzlich in einem Telefonat mit dem World Wide Web Consortium (kurz W3C) deutlicher formuliert. Auf die Frage, wie stabil die FLoC-ID einer Person sein soll, antwortete Ravichandran, dass „ein durchschnittlicher Benutzer an einem durchschnittlichen Tag zwischen 3-7 Domains besucht und diese im Laufe der Zeit ziemlich stabil sind“.
Ravichandran stellte fest, dass selbst wenn eine Person jede zweite Woche von Kohorte zu Kohorte springt, wenn man ihr Web-Browsing-Verhalten aus der Vogelperspektive betrachtet, alles ziemlich ähnlich aussieht. Das bedeutet, dass Ihnen selbst nach dem Zurücksetzen nach sieben Tagen wahrscheinlich dieselbe ID wie zuvor zugewiesen wird, wodurch der Rest bedeutungslos wird.
Wer verwendet diese FLoC-IDs?
Xaxis ist nur eines von vielen, vielen (vielen) Unternehmen im Adtech-Bereich mit solchen Plänen. Mightyhive, ein in San Francisco ansässiges Datenunternehmen, sagte gegenüber Digiday, dass es Benutzer in bestimmte „Eimer“ wirft, um zu sehen, ob die FLoC-ID, mit der ihr Browser gebrandmarkt wurde, mit „bestimmten Aktionen“ wie dem Kauf bestimmter Produkte in Verbindung steht. Der Adtech-Mittelsmann Mediavine hat bekannt gegeben, dass er derzeit alle FLoC-IDs von Besuchern der der 11.000-jährigen Websites, die an seine Technologie angeschlossen sind, schlürft und diese Daten dann an andere Partner weitergibt, die dafür verantwortlich sind, welche IDs welche besuchen bestimmte Webseiten.
Diese sogenannten „Demand Side Partners“ (DSPs, für diejenigen im Business) sind diejenigen, die damit beauftragt sind, herauszufinden, welcher durcheinandergebrachte Identifikator einer frischgebackenen Mutter, einem TikToker im Teenageralter oder einem Kerl entspricht, der einfach wirklich Hunde mag.
Im Moment lohnt es sich zu vermuten, dass diese Bezeichnungen ziemlich weit gefasst sind. in demselben W3C-Aufruf erklärte Ravichandran, dass diese ersten Kohortengruppen ausschließlich aus Daten über den Domainnamen generiert werden, auf dem eine Person landet, und aus nichts anderem. Verschiedene Seiten einer Site oder der eigentliche Inhalt einer bestimmten Seite werden im Algorithmus von FLoC nicht berücksichtigt – obwohl er andeutete, dass sich dies “später in diesem Jahr” ändern könnte.
Wenn Sie sich fragen, wie schwer es für diese DSPs ist, diese kryptischen Kohortencodes zu entschlüsseln, lautet die Antwort „nicht sehr“. Letzten Monat veröffentlichte Mozilla-Alaun Don Marti – der jetzt für die Werbefirma CafeMedia arbeitet – einen Blog, in dem erläutert wurde, wie er grob einige der wichtigsten FLoC-Kategorien entschlüsselte, die Websites besuchten, mit denen sein Unternehmen zusammenarbeitete. Nachdem er die 33.000 verschiedenen Kohorten, die Google generierte, auf 33 Mega-Horts reduziert hatte, ordnete er Schlüsselwörter zu den Websites zu, die diese “Horts” besuchten.
Nachdem er einige der banaleren Keywords herausgefiltert hatte (um die Ergebnisse “bedeutungsvoller” zu machen), und er endete mit … diesem:
1 kFLoC-Kohorte = 1.000 FLoC-Kohorten. Es tut mir leid, wenn dies jemandem Rückblenden zum Chemieunterricht an der High School gibt. Screenshot: CafeMedia (Gizmodo)In groben Zügen können Sie wahrscheinlich sagen, welche Art von Person jede dieser FLoCs repräsentiert. Nummer 32 mit Wörtern wie “gesund” und “Tomate” und “Apfel” und (mein persönlicher Favorit) “Bohnen” könnte jemand sein, der wirklich Bio isst und von zu Hause aus kocht. Nummer 20 („häkeln“, „Muster“, „Schreiben“) klingt nach einer entspannten Person, die Ihnen einen bequemen Schal machen könnte. Nummer 15 (“Codes”, “printable”, “Eier”) klingt … nun, da bin ich mir ehrlich gesagt nicht sicher. Ein Tech-Bruder, der ein gutes Shakshuka mag?
Sie würden wahrscheinlich nicht viel über jemanden erfahren, wenn Sie eine dieser Kohorten mit den Daten abgleichen würden, die ein großer Broker bereits über sie hatte. Sicher, Sie werden vielleicht erfahren, dass dieser Typ wirklich auf Magie/Aufläufe/Hunde steht – aber wenn meine früheren Erfahrungen mit Magier-Auflauf-Hunden ein Hinweis darauf sind, wussten Sie dies wahrscheinlich bereits über sie.
Aber was ist, wenn dieser Typ regelmäßig Websites besucht, die sich um queere oder transsexuelle Themen drehen? Was ist, wenn er versucht, online auf Lebensmittelmarken zuzugreifen? Diese Art des Surfens im Internet wird – wie jedes Surfen im Internet – in den Algorithmus von FLoC geschlürft, was möglicherweise unzähligen obskuren Adtech-Betreibern einen Hinweis auf die Sexualität oder die finanzielle Situation einer Person gibt. Und da die Welt des Datenaustauschs trotz der besten Absichten des Gesetzgebers immer noch eine (größtenteils) gesetzlose Ödnis ist, kann einen DSP nicht viel davon abhalten, diese Daten an den Meistbietenden weiterzugeben.
Google weiß, dass dies ein Problem ist. Es veröffentlichte sogar ein Whitepaper, in dem beschrieben wird, wie die zugrunde liegende Technologie von FLoC davon abgehalten werden soll, versehentlich Kohorten zu beschwören, die auf einer vordefinierten Liste „sensibler Kategorien“ wie Rasse, Religion oder Krankheit einer Person basieren. Nicht lange nachdem diese Zeitung veröffentlicht wurde, veröffentlichte Cyphers einen eigenen Blog, in dem er unter anderem argumentierte, dass der Ansatz der Zeitung ärgerlich halbherzig war.
“Ich meine, ja, sie haben es versucht. Das ist besser, als es nicht zu versuchen“, sagte Cyphers. “Aber ich denke, ihre Lösung weicht dem schwierigen Problem aus, das sie zu lösen versuchen.”
Dieses „harte Problem“, von dem er spricht, ist zugegebenermaßen sehr schwer zu lösen: Wie schützen Sie Ihre am stärksten gefährdeten Benutzer davor, lebensbedrohlich bis wirtschaftlich verheerend profiliert zu werden, während Sie immer noch Daten über sie sammeln? andere Leute können Geld verdienen?
Google seinerseits hat sich entschieden, dieses Problem anzugehen, indem es den Browserverlauf einiger Benutzer durchkämmt, die an diesen Tests teilnehmen, um zu sehen, ob sie Websites in verschiedenen “sensiblen Kategorien” besucht haben. Eine Website für ein Krankenhaus könnte beispielsweise als „medizinisch“ bezeichnet werden, oder eine Website für die Kirche einer Person könnte als „Religion“ bezeichnet werden. Wenn eine Kohorte Websites innerhalb dieser verbotenen Kategorien besonders häufig besucht, blockiert Google die Ausrichtung auf diese Gruppe.
Mit anderen Worten, der Vorschlag von Google geht davon aus, dass Personen einer bestimmten „sensiblen“ Kategorie massenhaft bestimmte „sensible“ Websites besuchen. Aber so surfen die Leute einfach nicht im Internet; Menschen mit Depressionen hängen wahrscheinlich nicht jeden Tag in der Psychiatrie-Dot-Org ab, und eine Person, die sich als LGBT+ identifiziert, lauert möglicherweise nicht in der Umgebung von Google, die eine “schwule Website” annimmt. Sicher, Personen in diesen Kategorien zeigen möglicherweise ein ähnliches Surfverhalten, aber der Vorschlag von Google liest sich wie eine Lösung für eine Welt, in der Menschen wie Roboter und nicht wie Menschen im Internet surfen.
Am Ende des Tages ist Google jedoch auf dem besten Weg, FLoC bis Mitte 2022 vollständig einzuführen, ob es nun für uns bereit ist oder nicht. „Wenn Sie sich die öffentliche FLoC-Github-Seite ansehen, gibt es Seiten des Hin und Her zwischen den Leuten, die FLoC entworfen haben, und den Datenschutzbeauftragten, die darauf hinweisen, warum dies eine so schlechte Idee ist“, sagte Cyphers Designer sind wie „Gut zu wissen! Wir denken immer noch, dass wir Recht haben.’“
WeiterlesenShoshana WodinskyPostsEmailTwitter
Ich beschreibe das Datengeschäft für Gizmodo. Senden Sie Ihre schlechtesten Tipps an swodinsky@gizmodo.com.