.
Exclusivo Pelo menos 18 websites do sector público no Reino Unido e nos EUA enviam dados de visitantes de alguma forma para vários corretores de publicidade na web – incluindo uma empresa de tecnologia de publicidade na China envolvida em controvérsias de privacidade passadas, afirma uma empresa de segurança.
Silent Push, que identificou os sites, argumentará hoje em um relatório fornecido a Strong The One que isto levanta preocupações sobre o cumprimento das regras que limitam anúncios em sites governamentais, bem como preocupações sobre a privacidade online.
Nos EUA, os sites .gov não devem veicular anúncios. No Reino Unido, os anúncios são permitidos em sites .gov.uk, sujeitos a algumas limitações. Os sites .gov e .gov.uk sinalizados pelo Silent Push publicam, cada um, um arquivo ads.txt que especifica as empresas autorizadas a vender automaticamente o espaço publicitário desse site aos anunciantes quando um visitante chega.
Para quem não sabe, os sites podem vender espaço publicitário aos anunciantes em tempo real por meio de bolsas ou corretores, assim que os visitantes chegam às páginas; isso normalmente envolve a troca de informações pseudônimas sobre esses visitantes para que, por exemplo, um anunciante possa fazer lances mais altos por um espaço de anúncio se o internauta for considerado valioso. Ads.txt lista as empresas com permissão para vender esse inventário de espaço publicitário em nome de um site, e Silent Push encontrou vários sites do governo do Reino Unido e dos EUA com esse arquivo listando várias trocas de publicidade e revendedores que vão do Google (como o que Strong The One usa) para um na China.
“A tecnologia publicitária integrada em sites governamentais geralmente é uma má ideia e há um bom motivo para o governo dos EUA proibir a prática em seu namespace .gov”, explicou Zach Edwards, analista sênior de ameaças da Silent Push, em um e-mail para Strong The One. “É um pouco chocante ver tantos sites de conselhos do Reino Unido com anúncios online.”
Um dos fornecedores de tecnologia de publicidade usados pelos sites .gov.uk, e destacado pela Silent Push, é a Yeahmobi. Esta entidade chinesa supostamente teve seu SDK de anúncios móveis removido da Google Play Store em 2018 por suposta fraude publicitária. Yeahmobi não respondeu aos pedidos de comentários.
A preocupação da Edwards é que esses corretores de publicidade possam ter acesso a dados associados aos visitantes do site, como seus endereços IP e outros identificadores. Os internautas podem não esperar isso ao visitar um portal do setor público.
O relatório da Silent Push identifica quatro sites .gov que, em nossa experiência, não exibem anúncios, embora façam ping em plataformas de anúncios na web, listem várias trocas em seus arquivos ads.txt e podem violar as regras CISA do governo dos EUA. No Reino Unido, a história é diferente, já que 18 sites identificados pelo Silent Push usam o Yeahmobi, entre outros, para exibir anúncios em algum lugar das páginas. Aqui está uma seleção:
Os sites .gov.uk possuem os arquivos app-ads.txt e sellers.json, bem como ads.txt que declaram parceiros de tecnologia de publicidade aprovados. App-ads.txt é usado para anúncios veiculados por meio de aplicativos móveis. Todos eles foram projetados para, idealmente, mitigar fraudes publicitárias.
“A licitação de anúncios é um processo complexo”, explica o relatório Silent Push. “Resumindo, nesses sites, os dados do usuário são ingeridos por meio de endpoints de publicidade do Google. O endereço IP do visitante (ou endereço IP parcial), o dispositivo do agente do usuário (ou seja, tipo de dispositivo) e os detalhes do navegador são então compartilhados com parceiros de troca de anúncios por meio do servidor compartilhamento de dados do lado.”
As entidades no arquivo ads.txt obtêm esses dados, a menos que o editor tenha tomado a decisão incomum de cancelar.
Depois disso, explica o relatório, essas plataformas de anúncios e quaisquer intermediários terão a oportunidade de apresentar lances no leilão de espaços publicitários. O licitante vencedor veicula um anúncio no site e também tem a oportunidade de sincronizar dados por meio de parceiros de tecnologia de anúncios, que podem incluir dados de cliques se a pessoa que vê o anúncio navegar até a página de destino anunciada.
Strong The One perguntou um tecnólogo familiarizado com sites do governo (que pediu para não ser identificado) sobre as descobertas do Silent Push. Eles não estavam preocupados, na ausência de qualquer evidência de que os anúncios estivessem canalizando dados de volta para a China.
‘Descontrolado’
Jason Kint, CEO da Digital Content Next, um grupo comercial para produtores de conteúdo digital, mostrou um pouco mais de preocupação. “Acho que é justo dizer que um site do governo do Reino Unido ou dos EUA não passaria intencionalmente os dados de seus cidadãos para uma entidade chinesa, então isso apenas fala da natureza desenfreada da tecnologia de publicidade e dos dados do usuário que são extraídos e monetizados por meio dele”. ele disse Strong The One.
“Também é razoável supor que a maioria dos cidadãos do Reino Unido não gostaria que os seus dados pessoais fossem transmitidos a uma entidade chinesa”, acrescentou.
Edwards de Silent rejeitou a sugestão de que não há nada para ver aqui. “Ads.txt e app-ads.txt incluem as entidades autorizadas a fazer lances nos visitantes do site para exibir anúncios”, observou ele.
“As organizações não colocam rastreadores na página por padrão, [but] eles estão obtendo dados por meio do fluxo de lances publicitários – o compartilhamento de dados do lado do servidor que ocorre globalmente trilhões de vezes por dia.
“Portanto, nem todas essas organizações obtêm imediatamente acesso JavaScript para serem lançados na página, mas recebem cargas úteis do fluxo de lances – e por padrão inclui campos confidenciais, como o endereço IP do dispositivo. Existem configurações que os editores podem ativar. limitar o compartilhamento de alguns dados pessoais por meio do fluxo de lances, mas não há indicação de que isso esteja ativado para esses sites do Reino Unido – especialmente com base no número significativo de fornecedores autorizados pelos domínios.
Esta não é exatamente a mesma preocupação que o rastreamento de pixels em sites do setor público. Mas é semelhante, de acordo com Edwards, que observou que as promessas de privacidade no mundo das licitações publicitárias foram contestadas em tribunal.
“O JavaScript de [tracking] pixels captura dados semelhantes que o JavaScript de pontos de extremidade de lances em tempo real coleta, com a principal diferença sendo que os pixels podem definir um cookie em seu navegador imediatamente, enquanto na tecnologia de publicidade os milhares ou dezenas de milhares de entidades com oportunidades de fazer lances não o fazem. tenham a oportunidade de colocar um cookie no seu computador, a menos que ganhem um leilão – e somente através de fornecedores de atribuição aprovados”, explicou ele.
“Os compradores de anúncios só têm a oportunidade direta de colocar cookies ou executar JavaScript em seu navegador se você clicar nos anúncios.”
Edwards disse que espera que tornar os funcionários do governo mais conscientes de que isto está a acontecer no Reino Unido e nos EUA conduza a políticas mais fortes que proíbam explicitamente anúncios em websites governamentais. ®
.
