Pular para o conteúdo principal

DOE AGORA Qualquer valor

O Google permitiu que uma empresa de publicidade russa sancionada coletasse dados do usuário por meses

O Google permitiu que uma empresa de publicidade russa sancionada coletasse dados do usuário por meses

A gigante da internet pode ter fornecido ao RuTarget, de propriedade do Sberbank, IDs exclusivos de telefones celulares, endereços IP, informações de localização e detalhes sobre os interesses e atividades online dos usuários.

No dia seguinte à invasão da Ucrânia pela Rússia em fevereiro, o presidente do Comitê de Inteligência do Senado, Mark Warner , enviou uma carta ao Google alertando-o para estar em alerta para “exploração de sua plataforma pela Rússia e entidades ligadas à Rússia” e pedindo à empresa que audite sua publicidade cumprimento das sanções econômicas por parte das empresas.

Mas, em 23 de junho, o Google estava compartilhando dados de usuários potencialmente confidenciais com uma empresa de tecnologia de publicidade russa sancionada de propriedade do maior banco estatal da Rússia, de acordo com um novo relatório fornecido à ProPublica.

O Google permitiu que a RuTarget, uma empresa russa que ajuda marcas e agências a comprar anúncios digitais, acesse e armazene dados sobre pessoas que navegam em sites e aplicativos na Ucrânia e em outras partes do mundo, de acordo com pesquisa da empresa de análise de anúncios digitais Adalytics . A Adalytics identificou cerca de 700 exemplos de RuTarget recebendo dados de usuários do Google depois que a empresa foi adicionada a uma lista de entidades sancionadas do Tesouro dos EUA em 24 de fevereiro. O compartilhamento de dados entre o Google e o RuTarget foi interrompido quatro meses depois, em 23 de junho, o dia em que a ProPublica entrou em contato Google sobre a atividade.

O RuTarget, que também opera sob o nome de Segmento, é de propriedade do Sberbank, um banco estatal russo que o Tesouro descreveu como “exclusivamente importante” para a economia do país quando atingiu o credor com as sanções iniciais. O RuTarget foi posteriormente listado em um anúncio do Tesouro de 6 de abril que impôs sanções totais de bloqueio ao Sberbank e outras entidades e pessoas russas. As sanções significam que indivíduos e entidades dos EUA não devem realizar negócios com RuTarget ou Sberbank.

De particular preocupação, a análise mostrou que o Google compartilhou dados com o RuTarget sobre usuários que navegam em sites baseados na Ucrânia. Isso significa que o Google pode ter fornecido informações críticas como IDs exclusivos de telefones celulares, endereços IP, informações de localização e detalhes sobre os interesses e atividades online dos usuários, dados que senadores e especialistas dos EUA dizem que poderiam ser usados ​​por militares e serviços de inteligência russos para rastrear pessoas. ou zerar em locais de interesse.

Em abril passado, um grupo bipartidário de senadores dos EUA enviou uma carta ao Google e a outras grandes empresas de tecnologia de anúncios alertando sobre as implicações de segurança nacional dos dados compartilhados como parte do processo de compra de anúncios digitais. Eles disseram que esses dados de usuários “seriam uma mina de ouro para serviços de inteligência estrangeiros que poderiam explorá-los para informar e sobrecarregar hackers, chantagens e influenciar campanhas”.

O porta-voz do Google, Michael Aciman, disse que a empresa bloqueou o RuTarget de usar seus produtos de anúncios em março e que o RuTarget não comprou anúncios diretamente pelo Google desde então. Ele reconheceu que a empresa russa ainda estava recebendo dados de usuários e compra de anúncios do Google antes de ser alertado pela ProPublica e Adalytics.

“O Google está comprometido em cumprir todas as sanções aplicáveis ​​e leis de conformidade comercial”, disse Aciman. “Analisamos as entidades em questão e tomamos as medidas de fiscalização apropriadas além das medidas que tomamos no início deste ano para impedi-las de usar diretamente os produtos de publicidade do Google.”

Aciman disse que essa ação inclui não apenas impedir que a RuTarget acesse mais dados do usuário, mas também de comprar anúncios de terceiros na Rússia que podem não ser sancionados. Ele se recusou a dizer se a RuTarget comprou anúncios por meio dos sistemas do Google usando esses terceiros e não comentou se os dados sobre os ucranianos foram compartilhados com a RuTarget.

Krzysztof Franaszek, que administra o Adalytics e é o autor do relatório, disse que a capacidade do RuTarget de acessar e armazenar dados de usuários do Google pode abrir a porta para sérios abusos em potencial.

“Pelo que sabemos, eles estão pegando esses dados e combinando-os com 20 outras fontes de dados que obtiveram de Deus sabe de onde”, disse ele. “Se os outros parceiros de dados da RuTarget incluíssem o governo russo, inteligência ou cibercriminosos, há um grande perigo.”

Em uma declaração à ProPublica, Warner, um democrata da Virgínia, chamou de alarmante o fracasso do Google em romper seu relacionamento com a RuTarget.

“Todas as empresas têm a responsabilidade de garantir que não estão ajudando a financiar ou mesmo inadvertidamente a invasão da Ucrânia por Vladimir Putin. Ouvir que uma empresa americana pode estar compartilhando dados de usuários com uma empresa russa – de propriedade de um banco estatal sancionado, nada menos – é incrivelmente alarmante e francamente decepcionante”, disse ele. “Peço a todas as empresas que examinem suas operações comerciais de cima para baixo para garantir que não estejam apoiando a guerra de Putin de forma alguma.”

A falha inicial do Google em aplicar totalmente as sanções ao RuTarget destaca como dinheiro e dados podem fluir através de seus sistemas de publicidade digital líderes de mercado com pouca supervisão ou responsabilidade. Um relatório de abril da Adalytics mostrou que o Google continuou veiculando anúncios em sites russos que estavam na lista de sanções do Tesouro há anos. Em junho, a ProPublica informou que o Google ajudou a colocar e ganhou dinheiro com mais de 100 milhões de anúncios de armas, apesar da forte posição pública da empresa contra a aceitação de tais anúncios.

As descobertas sobre a RuTarget também ocorrem quando o Google e outras empresas de tecnologia enfrentam intenso escrutínio dos legisladores sobre o manuseio de dados pessoais.

Senador Ron Wyden, D-Ore. , que faz parte do Comitê de Inteligência do Senado, criticou o Google por sua falha no ano passado em fornecer a ele e a seus colegas uma lista das empresas estrangeiras com as quais compartilha dados de anúncios.

"O Google se recusou a divulgar [aos senadores] se sua rede de anúncios disponibiliza dados de americanos para empresas estrangeiras na Rússia, China e outros países de alto risco", disse ele em comunicado à ProPublica. “É hora de o Congresso agir e aprovar meu projeto de lei bipartidário, o Protecting Americans' Data From Foreign Surveillance Act, que forçaria o Google e outras redes a mudar radicalmente a forma como fazem negócios e garantir que governos estrangeiros hostis não tenham acesso irrestrito a informações confidenciais dos americanos”.

Wyden e seus colegas apresentaram o projeto de lei bipartidário na semana passada para impedir que dados confidenciais sobre americanos fossem vendidos ou transferidos para “países estrangeiros de alto risco”. Wyden e um grupo diferente de colegas do Senado também enviaram uma carta à presidente da Comissão Federal de Comércio, Lina Khan, na semana passada, pedindo que ela investigasse o Google e a Apple por habilitar IDs de publicidade móvel em telefones celulares. Esses IDs exclusivos podem ser combinados com outros dados para identificar os usuários pessoalmente.

A carta de Wyden citou os IDs móveis como uma maneira pela qual o Google e a Apple transformaram “a publicidade online em um intenso sistema de vigilância que incentiva e facilita a coleta irrestrita e a venda constante de dados pessoais dos americanos”.

Aciman, do Google, disse que o ID de publicidade móvel foi criado para dar aos usuários controle e privacidade, e que o Google não permite a venda de dados do usuário.

“O ID de publicidade foi criado para dar aos usuários mais controle e fornecer aos desenvolvedores uma maneira mais privada de monetizar efetivamente seu aplicativo”, disse ele. “Além disso, o Google Play tem políticas que proíbem o uso desses dados para outros fins que não sejam publicidade e análise de usuários. Quaisquer alegações de que o ID de publicidade foi criado para facilitar a venda de dados são simplesmente falsas.”

Dados de fluxo de lance sob escrutínio

No centro das preocupações dos senadores e do relatório da Adalytics estão os dados coletados de usuários globais da Internet que são transmitidos entre empresas como parte do processo de compra de anúncios digitais. Esse tesouro de informações pode incluir o ID móvel exclusivo de uma pessoa, endereço IP, informações de localização e hábitos de navegação. Quando passado entre empresas para facilitar a compra de anúncios, o tesouro é chamado de dados de fluxo de dados. E é essencial para a indústria de anúncios digitais de cerca de meio trilhão de dólares que é dominada pelo Google.

Muitos anúncios digitais são colocados como resultado de um leilão em tempo real em que o vendedor do espaço publicitário, como um site, está conectado a potenciais compradores, como marcas e agências. Um leilão começa quando um usuário visita um site ou aplicativo. Em milissegundos, os dados coletados sobre esse usuário são compartilhados com potenciais compradores de anúncios para ajudá-los a decidir se fazem lances para exibir um anúncio ao usuário. Independentemente de oferecerem ou não lances, plataformas de compra de anúncios como o RuTarget recebem e armazenam esses dados de fluxo de lances, ajudando-os a automatizar a acumulação de repositórios ricos de dados ao longo do tempo.

O processo de leilão é executado por trocas de anúncios. Eles conectam compradores e vendedores e facilitam o compartilhamento de dados de bidstream entre eles em conjunto com um processo chamado sincronização de cookies. O Google opera a maior troca de anúncios do mundo, e a RuTarget é uma das muitas empresas com as quais compartilha dados de bidstream. Quanto mais o RuTarget se conectar a trocas de anúncios como o Google, mais informações ele poderá coletar e combinar com dados coletados de outras fontes online e offline.

Justin Sherman, membro da Duke's Sanford School of Public Policy que dirige um projeto focado em corretores de dados, disse que os dados de bidstream não são regulamentados e podem ser altamente confidenciais, mesmo que não incluam informações pessoais como nomes ou e-mails.

“Há uma atenção crescente nas maneiras pelas quais nosso ecossistema de dados e nosso ecossistema de corretores de dados e anunciantes distribui ou envia ou vende informações altamente confidenciais sobre americanos para entidades estrangeiras”, disse ele. “Também existe a preocupação de que entidades estrangeiras acessem ilicitamente essas informações.”

O Google não divulgou os parceiros de dados do Bidstream

O medo do mau uso das informações levou Warner, Wyden e quatro colegas a pedirem ao Google e a seis outras exchanges de anúncios em abril de 2021 que listassem os parceiros nacionais e estrangeiros com os quais compartilharam dados de bidstream nos últimos três anos. Eles alertaram que esses dados podem ter sérias implicações para a segurança nacional dos EUA.

“Poucos americanos percebem que alguns participantes de leilões estão desviando e armazenando dados de 'bidstream' para compilar dossiês exaustivos sobre eles. Por sua vez, esses dossiês estão sendo vendidos abertamente para qualquer pessoa com cartão de crédito, inclusive para fundos de hedge, campanhas políticas e até mesmo para governos”, escreveram em cartas à AT&T, Index Exchange, Google, Magnite, OpenX, PubMatic, Twitter e Verizon.

O Google respondeu algumas semanas depois, mas se recusou a listar as empresas com as quais compartilha dados de bidstream, citando “obrigações de não divulgação”.

A pesquisa de Franaszek revela preocupações sobre a precisão da resposta do Google. Ele identificou oito páginas no site de suporte do Google que listam centenas de empresas estrangeiras e domésticas qualificadas para receber dados de bidstream. Uma lista contém mais de 300 empresas, das quais 19 são de propriedade ou sede chinesa e 16 estão sediadas na Rússia, incluindo a RuTarget.

Franaszek também descobriu que algumas dessas empresas divulgaram publicamente sua relação com o Google. E, conforme relatado pela Vice , alguns dos concorrentes do Google divulgaram aos senadores os parceiros estrangeiros com os quais compartilham dados.

Isso levanta questões sobre a que o Google estava se referindo quando disse que as obrigações de não divulgação o impedem de nomear seus parceiros, de acordo com Franaszek.

“O Google estava divulgando, em seu próprio site, listas de [parceiros] estrangeiros meses antes de dizerem isso aos senadores”, disse ele.

Aciman, do Google, disse que as listas no site do Google não divulgam a natureza de seu relacionamento com as empresas e reiterou que tem obrigações de não divulgação com empresas que atuam como licitantes.

Uma das listas no site do Google ("Fornecedores externos certificados pelo Ad Manager") inclui uma coluna que descreve o que cada fornecedor do Google faz. Pelo menos 13 das empresas são identificadas publicamente como “licitantes de RTB”, o que significa que atuam como licitantes no processo de leilão de anúncios em tempo real do Google.

Editores que compartilham dados com o RuTarget

Os dados de usuários compartilhados pelo Google com a RuTarget e outros licitantes em potencial são extraídos de milhões de sites e aplicativos que contam com a gigante do Vale do Silício para ajudá-los a ganhar dinheiro com anúncios. E muitos provavelmente ficariam surpresos ao saber que uma empresa de publicidade russa sancionada era até duas semanas atrás capaz de coletar informações sobre seus visitantes.

Por causa de seu relacionamento com o Google, a RuTarget é listada publicamente como receptora de dados de usuários por grandes editoras, incluindo Reuters e ESPN. Isso significa que a RuTarget pode receber dados dessas empresas sobre os milhões de pessoas que visitam suas propriedades online todos os meses. Como outros editores, a ESPN e a Reuters listam a RuTarget como destinatário dos dados do usuário em pop-ups de consentimento de cookies mostrados aos usuários que navegam em seus sites da UE e de outras jurisdições com leis de privacidade de dados que exigem tais divulgações.

Um porta-voz da Reuters disse que as empresas mostradas em seu pop-up de consentimento, incluindo a RuTarget, vêm de uma lista de fornecedores fornecida pelo Google.

“Esta lista de fornecedores é gerenciada pelo Google, e a Reuters usa a lista de fornecedores do Google em nosso site. Entendemos que o Google suspendeu compradores e licitantes com sede na Rússia e não temos registro de nenhuma transação com a RuTarget desde 6 de abril”, disse Heather Carpenter, da Reuters.

A ESPN não respondeu a um pedido de comentário. Como parceiro do Google, é possível que os dados sobre os usuários que navegam no site da ProPublica tenham sido compartilhados em algum momento com o RuTarget. A natureza opaca e técnica da publicidade digital torna difícil saber com certeza.

Jason Kint, chefe do grupo de comércio de editores digitais Digital Content Next, disse que o poder de mercado do Google deixa os editores com pouca escolha a não ser trabalhar com a empresa.

“Os editores premium precisam confiar no Google para um número significativo de serviços dos quais dependem”, disse ele. “Este é outro exemplo de confiança equivocada. Estou incrivelmente decepcionado com o Google.”

O site da RuTarget também lista um grupo impressionante de marcas globais entre seus clientes, incluindo Procter & Gamble, Levi's, Mazda, MasterCard, Hyundai, PayPal e Pfizer. Isso sugere que as empresas trabalharam com a RuTarget para comprar anúncios, provavelmente em um esforço para atingir o público de língua russa.

Um porta-voz da Pfizer disse que a empresa não está trabalhando atualmente com a RuTarget. “Após a investigação com colegas que estabelecemos, não temos nenhuma relação de trabalho atual com a organização que você mencionou e não temos registro recente de qualquer relacionamento”, disse Andrew Widger, porta-voz da Pfizer, em um e-mail.

As demais empresas não responderam a um pedido de comentário.

Sherman, da Duke, disse que as conexões da RuTarget com o Google e tantas outras entidades mostram como o “ecossistema de publicidade digital e de coleta de dados e corretores de dados é uma bagunça e uma teia realmente espinhosa para desembaraçar”.

Comentários

Ebook

Postagens mais visitadas