Il giorno dopo l’invasione russa dell’Ucraina a febbraio, il presidente della commissione di intelligence del Senato Mark Warner ha inviato una lettera a Google avvertendoli di essere in allerta per “sfruttamento della vostra piattaforma da parte della Russia e di entità collegate alla Russia” e invitando la società a controllare la sua pubblicità nel rispetto da parte dell’impresa di sanzioni economiche.
Ma fino al 23 giugno, secondo un nuovo rapporto fornito a ProPublica, Google stava condividendo dati utente potenzialmente sensibili con una società di tecnologia pubblicitaria russa autorizzata di proprietà della più grande banca statale russa.
Secondo una ricerca della società di analisi degli annunci digitali Adalytics, Google ha consentito a RuTarget, una società russa che aiuta marchi e agenzie ad acquistare annunci digitali, di accedere e archiviare dati sulle persone che navigano su siti Web e app in Ucraina e in altre parti del mondo.
Adalytics ha identificato quasi 700 esempi di RuTarget che ha ricevuto dati utente da Google dopo che la società è stata aggiunta a un elenco di entità sanzionate del Tesoro degli Stati Uniti il 24 febbraio. La condivisione dei dati tra Google e RuTarget è stata interrotta quattro mesi dopo, il 23 giugno, giorno in cui ProPublica ha contattato Google sull’attività.
RuTarget, che opera anche sotto il nome di Segment, è di proprietà di Sberbank, una banca statale russa che il Tesoro ha descritto come “esclusivamente importante” per l’economia del paese quando ha colpito l’istituto di credito con le sanzioni iniziali. RuTarget è stato successivamente elencato in un annuncio del Tesoro del 6 aprile che ha imposto sanzioni di blocco totale a Sberbank e ad altre entità e persone russe.
Le sanzioni significano che gli individui e le entità statunitensi non dovrebbero condurre affari con RuTarget o Sberbank. Di particolare preoccupazione, l’analisi ha mostrato che Google ha condiviso con RuTarget dati sugli utenti che navigano su siti web con sede in Ucraina.
Ciò significa che Google potrebbe aver fornito informazioni critiche come ID univoci di telefoni cellulari, indirizzi IP, informazioni sulla posizione e dettagli sugli interessi degli utenti e sull’attività online, dati che secondo senatori ed esperti statunitensi potrebbero essere utilizzati dai servizi di intelligence e militari russi per tracciare persone o concentrati sui luoghi di interesse.
Lo scorso aprile, un gruppo bipartisan di senatori statunitensi ha inviato una lettera a Google e ad altre importanti società di tecnologia pubblicitaria avvertendo delle implicazioni sulla sicurezza nazionale dei dati condivisi come parte del processo di acquisto di annunci digitali. Hanno affermato che questi dati utente “sarebbero una miniera d’oro per i servizi di intelligence stranieri che potrebbero sfruttarli per informare e potenziare le campagne di hacking, ricatto e influenza”.
Il portavoce di Google Michael Aciman ha affermato che la società ha impedito a RuTarget di utilizzare i suoi prodotti pubblicitari a marzo e che da allora RuTarget non ha acquistato annunci direttamente tramite Google. Ha riconosciuto che la società russa stava ancora ricevendo dati di acquisto di utenti e annunci da Google prima di essere avvisato da ProPublica e Adalytics.
“Google si impegna a rispettare tutte le sanzioni applicabili e le leggi sulla conformità commerciale”, ha affermato Aciman. “Abbiamo esaminato le entità in questione e abbiamo adottato le misure esecutive appropriate oltre alle misure adottate all’inizio di quest’anno per impedire loro di utilizzare direttamente i prodotti pubblicitari di Google”.
Aciman ha affermato che questa azione include non solo impedire a RuTarget di accedere ulteriormente ai dati degli utenti, ma anche di acquistare annunci pubblicitari tramite terze parti in Russia che potrebbero non essere sanzionati. Ha rifiutato di dire se RuTarget avesse acquistato annunci tramite i sistemi di Google utilizzando tali terze parti e non ha commentato se i dati sugli ucraini fossero stati condivisi con RuTarget.
Google gioca a scarica barile
Krzysztof Franaszek, che gestisce Adalytics e autore del rapporto, ha affermato che la capacità di RuTarget di accedere e archiviare i dati degli utenti da Google potrebbe aprire la porta a gravi potenziali abusi.
“Per quanto ne sappiamo, stanno prendendo quei dati e li stanno combinando con altre 20 fonti di dati che hanno ottenuto da Dio solo sa dove”, ha detto. “Se gli altri partner di dati di RuTarget includessero il governo russo, l’intelligence o i criminali informatici, ci sarebbe un enorme pericolo”.
In una dichiarazione a ProPublica, Warner, un democratico della Virginia, ha definito allarmante l’incapacità di Google di interrompere la sua relazione con RuTarget.
“Tutte le aziende hanno la responsabilità di assicurarsi di non aiutare a finanziare o addirittura sostenere inavvertitamente l’invasione dell’Ucraina da parte di Vladimir Putin. Sentendo che una società americana potrebbe condividere i dati degli utenti con una società russa, di proprietà di una banca statale sanzionata, è incredibilmente allarmante e francamente deludente”, ha affermato.
“Esorto tutte le aziende a esaminare le loro operazioni commerciali da cima a fondo per assicurarsi che non sostengano in alcun modo la guerra di Putin”.
L’iniziale incapacità di Google di applicare completamente le sanzioni a RuTarget evidenzia come denaro e dati possono fluire attraverso i suoi sistemi pubblicitari digitali leader di mercato con poca supervisione o responsabilità. Un rapporto di aprile di Adalytics ha mostrato che Google aveva continuato a pubblicare annunci su siti Web russi che erano stati nell’elenco delle sanzioni del Tesoro per anni.
A giugno, ProPublica ha riferito che Google ha contribuito a pubblicare e guadagnare denaro da oltre 100 milioni di annunci di armi, nonostante la forte posizione pubblica dell’azienda contro l’accettazione di tali annunci. I risultati su RuTarget arrivano anche quando Google e altre società tecnologiche devono affrontare un intenso controllo da parte dei legislatori sulla loro gestione dei dati personali.
Il senatore Ron Wyden, D-Ore, che fa parte della commissione per l’intelligence del Senato, ha criticato Google per non aver fornito l’anno scorso a lui e ai suoi colleghi un elenco delle società di proprietà straniera con cui condivide i dati pubblicitari.
“Google ha rifiutato di rivelare ai senatori se la sua rete pubblicitaria rende i dati degli americani disponibili a società straniere in Russia, Cina e altri paesi ad alto rischio”, ha affermato in una dichiarazione a ProPublica.
“È tempo che il Congresso agisca e approvi il mio disegno di legge bipartisan, il Protecting Americans’ Data From Foreign Surveillance Act, che costringerebbe Google e altre reti a cambiare radicalmente il modo in cui fanno affari e garantire che i governi stranieri ostili non abbiano accesso illimitato a Informazioni sensibili degli americani”.
Wyden e i suoi colleghi hanno presentato la scorsa settimana il disegno di legge bipartisan per impedire che dati sensibili sugli americani vengano venduti o trasferiti in “paesi stranieri ad alto rischio”. Wyden e un altro gruppo di colleghi del Senato hanno anche inviato una lettera alla presidente della Federal Trade Commission Lina Khan la scorsa settimana chiedendole di indagare su Google e Apple per aver abilitato gli ID pubblicitari mobili nei telefoni cellulari.
Questi ID univoci possono essere combinati con altri dati per identificare personalmente gli utenti. La lettera di Wyden citava gli ID mobili come un modo in cui Google e Apple hanno trasformato “la pubblicità online in un intenso sistema di sorveglianza che incentiva e facilita la raccolta illimitata e la vendita costante dei dati personali degli americani”.
Aciman di Google ha affermato che l’ID pubblicità mobile è stato creato per fornire agli utenti il controllo e la privacy e che Google non consente la vendita dei dati degli utenti.
“L’ID pubblicitario è stato creato per offrire agli utenti un maggiore controllo e fornire agli sviluppatori un modo più privato per monetizzare efficacemente la propria app”, ha affermato. “Inoltre, Google Play dispone di norme che vietano l’utilizzo di questi dati per scopi diversi dalla pubblicità e dall’analisi degli utenti. Qualsiasi affermazione secondo cui l’ID pubblicità è stato creato per facilitare la vendita di dati è semplicemente falsa”.
Dati Bidstream sotto esame
Al centro delle preoccupazioni dei senatori e del rapporto Adalytics ci sono i dati raccolti sugli utenti Internet globali che vengono trasmessi tra le aziende come parte del processo di acquisto di annunci digitali. Questo tesoro di informazioni può includere l’ID mobile univoco, l’indirizzo IP, le informazioni sulla posizione e le abitudini di navigazione di una persona.
Quando vengono passati tra le aziende per facilitare l’acquisto di annunci, il tesoro viene chiamato dati bidstream. Ed è essenziale per l’industria della pubblicità digitale da circa mezzo trilione di dollari dominata da Google.
Molti annunci digitali vengono inseriti a seguito di un’asta in tempo reale in cui il venditore di uno spazio pubblicitario, come un sito Web, è collegato a potenziali acquirenti, come marchi e agenzie. Un’asta inizia quando un utente visita un sito Web o un’app. In pochi millisecondi, i dati raccolti su questo utente vengono condivisi con potenziali acquirenti di annunci per aiutarli a decidere se fare un’offerta per mostrare un annuncio all’utente.
Indipendentemente dal fatto che facciano offerte o meno, le piattaforme di acquisto di annunci come RuTarget ricevono e archiviano questi dati del flusso di offerte, aiutandoli ad automatizzare l’accumulo di ricchi repository di dati nel tempo. Il processo di asta è gestito da scambi di annunci. Collegano acquirenti e venditori e facilitano la condivisione dei dati del flusso di offerte tra di loro insieme a un processo chiamato sincronizzazione dei cookie.
Google gestisce il più grande scambio di annunci del mondo e RuTarget è una delle tante aziende con cui condivide i dati sui flussi di offerte. Più RuTarget si connette con scambi di annunci come Google, più informazioni può raccogliere e combinare con i dati raccolti da altre fonti online e offline.
Justin Sherman, un collega della Duke’s Sanford School of Public Policy che gestisce un progetto incentrato sui broker di dati, ha affermato che i dati relativi al bidstream sono in gran parte non regolamentati e possono essere altamente sensibili, anche se non includono informazioni personali come nomi o e-mail.
“C’è una crescente attenzione ai modi in cui il nostro ecosistema di dati e il nostro ecosistema di broker di dati e inserzionisti regalano o inviano o vendono informazioni altamente sensibili sugli americani a entità straniere”, ha affermato. “C’è anche preoccupazione per le entità straniere che accedono illecitamente a tali informazioni”.
Google non ha rivelato i partner di dati bidstream
I timori per il cattivo utilizzo delle informazioni hanno portato Warner, Wyden e quattro colleghi a chiedere a Google e ad altri sei scambi di annunci nell’aprile 2021 di elencare i partner nazionali e stranieri con cui hanno condiviso i dati del bidstream negli ultimi tre anni. Hanno avvertito che questi dati potrebbero avere serie implicazioni per la sicurezza nazionale degli Stati Uniti.
“Pochi americani si rendono conto che alcuni partecipanti all’asta stanno sottraendo e archiviando dati “bidstream” per compilare dossier esaurienti su di loro”.
A loro volta, questi dossier vengono venduti apertamente a chiunque disponga di una carta di credito, inclusi hedge fund, campagne politiche e persino ai governi”, hanno scritto in lettere ad AT&T, Index Exchange, Google, Magnite, OpenX, PubMatic, Twitter, e Verizon.
Google ha risposto poche settimane dopo, ma ha rifiutato di elencare le società con cui condivide i dati di bidstream, citando “obblighi di non divulgazione”.
La ricerca di Franaszek rivela preoccupazioni sull’accuratezza della risposta di Google. Ha identificato otto pagine sul sito Web di supporto di Google che elencano centinaia di società estere e nazionali che sono idonee a ricevere i dati relativi al flusso di offerte da esso. Un elenco che contiene oltre 300 società, di cui 19 sono di proprietà cinese o con sede centrale e 16 hanno sede in Russia, inclusa RuTarget.
Franaszek ha anche scoperto che alcune di queste società hanno rivelato pubblicamente la loro relazione con Google. E, come riportato da Vice, alcuni concorrenti di Google hanno rivelato ai senatori i partner stranieri con cui condividono i dati.
Ciò solleva interrogativi su cosa si riferisse a Google quando ha affermato che gli obblighi di non divulgazione gli impediscono di nominare i suoi partner, secondo Franaszek.
“Google stava pubblicizzando, sul proprio sito web, elenchi di partner stranieri mesi prima che lo dicessero ai senatori”, ha detto.
Aciman di Google ha affermato che gli elenchi sul sito Web di Google non rivelano la natura del suo rapporto con le società e ha ribadito che ha obblighi di riservatezza con le società che agiscono come offerenti.
Uno degli elenchi sul sito di Google (“Fornitori esterni certificati Ad Manager“) include una colonna che descrive le attività di ciascun fornitore Google. Almeno 13 delle società sono pubblicamente identificate come “offerenti RTB”, il che significa che agiscono come offerenti nel processo di asta degli annunci in tempo reale di Google.
I dati degli utenti condivisi da Google con RuTarget e altri potenziali offerenti provengono da milioni di siti Web e app che si affidano al gigante della Silicon Valley per guadagnare denaro dagli annunci. E molti sarebbero probabilmente sorpresi nell’apprendere che una società pubblicitaria russa autorizzata fino a due settimane fa è stata in grado di raccogliere informazioni sui suoi visitatori.
A causa della sua relazione con Google, RuTarget è elencato pubblicamente come destinatario dei dati degli utenti dai principali editori tra cui Reuters ed ESPN. Ciò significa che RuTarget può ricevere dati da queste aziende sui milioni di persone che visitano le loro proprietà online ogni mese.
Come altri editori, ESPN e Reuters elencano RuTarget come destinatario dei dati dell’utente nei popup di consenso dei cookie mostrati agli utenti che navigano sui loro siti dall’UE e da altre giurisdizioni con leggi sulla privacy dei dati che richiedono tale divulgazione.
Un portavoce di Reuters ha affermato che le società mostrate nel popup di consenso, incluso RuTarget, provengono da un elenco di fornitori fornito da Google.
“Questo elenco di fornitori è gestito da Google e Reuters utilizza l’elenco di fornitori di Google sul nostro sito Web. Comprendiamo che Google ha sospeso acquirenti e offerenti con sede in Russia e non abbiamo registrazioni di transazioni con RuTarget dal 6 aprile”, ha affermato Heather Carpenter di Reuters.
ESPN non ha risposto ad alcuna richiesta di commento della stampa. In qualità di partner di Google, è possibile che i dati sugli utenti che navigano sul sito Web di ProPublica siano stati a un certo punto condivisi con RuTarget. La natura opaca e tecnica della pubblicità digitale rende difficile saperlo con certezza.
Jason Kint, capo del gruppo commerciale di editori digitali Digital Content Next, ha affermato che il potere di mercato di Google lascia agli editori poca scelta se non quella di lavorare con l’azienda.
“Gli editori premium devono fidarsi di Google per un numero significativo di servizi da cui dipendono”, ha affermato. “Questo è un altro esempio di fiducia mal riposta. Sono semplicemente incredibilmente deluso da Google”.
Il sito Web di RuTarget elenca anche un impressionante gruppo di marchi globali tra i suoi clienti, tra cui Procter & Gamble, Levi’s, Mazda, MasterCard, Hyundai, PayPal e Pfizer. Ciò suggerisce che le aziende hanno collaborato con RuTarget per acquistare annunci pubblicitari, probabilmente nel tentativo di rivolgersi al pubblico di lingua russa.
Un portavoce di Pfizer ha affermato che la società non sta attualmente lavorando con RuTarget. “A seguito di un’indagine con i colleghi, abbiamo stabilito che non abbiamo alcun rapporto di lavoro attuale con l’organizzazione di cui parli e non abbiamo registrazioni recenti di alcun rapporto”, ha affermato in un’e-mail Andrew Widger, il portavoce di Pfizer.
Sherman di Duke ha affermato che le connessioni di RuTarget con Google e così tante altre entità mostrano come “l’ecosistema della pubblicità digitale e della raccolta di dati e dei broker di dati sia un pasticcio e una rete davvero spinosa da districare”.
