Donderdag 23/01/2020

Datalek

De slinkse truc genaamd 'scraping'

Facebook-CEO Mark Zuckerberg. Beeld REUTERS

"De beste advertentiemachine ter wereld is doorgeslagen", en dat beginnen we nu pas te beseffen volgens digitaal marketeer Herman Maes. Hij gebruikte in het verleden alle mogelijke marketingtrucs om online kortingsbonnen te verkopen en kent Facebook op zijn duimpje.

"Dat ik een stroper was die ondertussen boswachter is geworden, is overdreven", zegt Herman Maes, digitaal marketeer bij het agentschap Intracto. "Maar ik vind het belangrijk dat iedereen beseft dat wat nu allemaal bekend geraakt over Facebook en Cambridge Analytica geen uniek verhaal is. Meer zelfs, het is het topje van de ijsberg."

Tot 2014 verdiende Maes een extraatje via een kortingscodewebsite. Het principe is eenvoudig: wanneer Zalando online kortingscodes uitdeelde, deed het een beroep op digitale marketeers zoals Maes toen. Op elke kortingscode die hij online aan de man kon brengen en die ook effectief werd gebruikt, verdiende hij een commissie. Hoe effectiever Maes mensen kon bereiken, hoe minder het kostte, hoe meer een verkochte kortingsbon hem opleverde. "In die periode heb ik als marketeer dingen gedaan die ik mijn klanten vandaag niet zou durven voorstellen."

Een van de geliefde marketingtechnieken was het 'scrapen' van Facebook-data. Waar Cambridge Analytica data verkreeg via een applicatie die mensen zelf hadden gedownload, heb je bij scrapen als gebruiker niet echt een idee wat er over je wordt verzameld en wanneer dat gebeurt. "Met scrapen bedoel ik via een softwaretool gegevens van Facebook-gebruikers verzamelen. In het geval van Facebook gaat het om gegevens die publiek op je profiel staan."

Vrijgezellen in de Noxx

Het moet gezegd, Facebook zette zelf de deur wagenwijd open voor dataslurpers. De zogenaamde graph search was in de periode tussen 2013 en 2015 de heilige graal voor marketeers. "Op basis van woorden kon je heel gericht naar bepaalde mensen zoeken", zegt Maes. "Ik kon bijvoorbeeld zoeken op 'vriendinnen van mijn vrienden die vrijgezel zijn'. Dan kreeg ik een lijst met foto, naam en toenaam van vrijgezellen die bevriend waren met vrienden van mij."

Wie dat nog niet voldoende vond, kon nog een stap verder en zoekopdrachten invoeren zoals 'single females who checked in at Noxx Antwerp and live in Antwerp and like champagne.' "Je moest je Facebook daar wel voor in het Amerikaans Engels zetten, want zulke zoekopdrachten waren toen ook al in strijd met de Europese privacywetgeving."

Dergelijke zoekopdrachten kunnen interessant zijn voor mensen die op zoek zijn naar de liefde van hun leven, maar ze openden ook perspectieven voor Maes. "Je had zelfs de link met je vrienden niet nodig. Ik zocht ooit alle mensen op die Center Parcs in Erperheide en Center Parcs in Zeeland hadden geliket op Facebook." 

Maes schraapte vervolgens de profielen van Facebook. Vooral hun Facebook-ID was belangrijk, dat is de unieke code die Facebook aan elk profiel hangt. "Die ID gebruikte ik in de advertentietool om net die mensen te verleiden met een kortingsbon. Dat werkte heel goed." Maes gebruikte de voorbeelden tijdens presentaties over hoe je als marketeer het onderste uit de kan kon halen op Facebook.

"Mensen zullen het zich misschien niet herinneren, maar dit soort gereedschap gaf mensen de mogelijkheid om heel persoonlijk aan targetting te doen. Denk aan kleine T-shirtbedrijven die allemaal T-shirts met 'I'm Jessica' lieten drukken en dan zo'n T-shirt in de tijdlijn van mensen met de naam Jessica lieten opduiken."

In 2015 besloot Facebook de graph search-functie stop te zetten. Het werd namelijk te eng wanneer mensen blogposts begonnen schrijven over Indische mannen in Silicon Valley die vrijgezel waren.

Perfecte advertentiemachine

Het mechanisme achter de graph search bleef wel bestaan. Dat is uiteindelijk de ruggengraat van Facebook, waarop alle persoonlijk targetting is gebaseerd. "Het enige verschil is dat je vandaag als marketeer geen namen meer te zien krijgt van mensen die je wil bereiken. Alles is geanonimiseerd." Met andere woorden: je ziet niet meer de namen van vrijgezellen die incheckten in de Noxx en wel champagne lustten, maar een mooie tabel waaruit blijkt dat je – bij wijze van voorbeeld – driehonderd vrouwen kunt bereiken.

Vervelend voor marketeers, maar een kleine overwinning voor de privacy, denk je dan. Niet per se. "Het probleem is dat marketeers over de hele wereld jaren aan een stuk software hebben gebruikt om gegevens van publieke profielen te halen. Dankzij die software kun je dat automatiseren en gemakkelijk opslaan", zegt computerwetenschapper Jeroen Baert (KU Leuven). En iets wat je kunt opslaan, kun je ook kopiëren.

"In het Cambridge Analytica-verhaal kan Facebook nagaan wie de app heeft gedownload en welke gegevens beschikbaar waren voor de ontwikkelaars. Maar welke en hoeveel data haast letterlijk van het scherm werd geschraapt, is onmogelijk in kaart te brengen", zegt Baert. Het internet stond vol met tooltjes en zogenaamde
growth hacking-technieken om zoveel mogelijk gegevens bij elkaar te rapen.

Een protestactie aan het hoofdkwartier van Facebook. Beeld AFP

En daar werd zelfs mee gepocht op marketingcongressen, vult Maes aan. "Ziehier een tooltje waarmee je voor enkele euro's per maand nog gerichter aan targetting kunt doen, klonk het op elk marketingevenement. Vandaag worden zulke gasten niet meer uitgenodigd."

Herman Maes volgt digitale marketing al sinds 2002 op de voet en zag Facebook evolueren van een sympathiek vriendennetwerk tot de perfecte advertentiemachine. "Na de beursgang van 2012 is het bedrijf echt grenzen gaan opzoeken. Er is geen enkele software die het mogelijk maakt om zo specifiek aan targetting te doen. De druk om winst te maken heeft die machine doen doorslaan."

Facebook probeert op dit moment zoveel mogelijk van die technieken een hak te zetten. Maar de gelekte data is weg en zal nog een tijd rondzwerven op het wereldwijde web.

De 87 miljoen door Cambridge Analytica misbruikte Facebook-profielen verdwijnen in het niets bij de 2,2 miljard profielen waarvan de publieke data waarschijnlijk al in handen zijn gevallen van derde partijen. Zij hebben de gegevens op hun beurt weer in bulk en aangevuld met andere data kunnen doorverkopen.

Gesofisticeerde aanpak

Hoewel de graph search-functie al enkele jaren geleden werd afgevoerd, zijn er nog steeds lightversies voorhanden. Zo kun je gegevens verzamelen met behulp van e-mailadressen of telefoonnummers. "Als je e-mailadressen of telefoonnummers van mensen hebt, kun je hen gemakkelijk identificeren via Facebook", zegt Baert.

Deze week kondigde Facebook aan dat ook die zoekfunctie zou verdwijnen. Al zat dat nieuws een beetje verstopt in een algemene update van Facebook.

"Mensen met slechte bedoelingen hebben deze functie misbruikt om publieke profielinformatie te scrapen aan de hand van telefoonnummers en e-mailadressen. Door de schaal en de gesofisticeerde aanpak die we vaststelden, gaan we ervan uit dat de profielen van de meeste gebruikers op die manier werden verzameld", schreef Mike Schroepfer, Chief Technology Officer van Facebook, op de bedrijfsblog.

Ondertussen werkt Herman Maes al enkele jaren voor het digitaal agentschap Intracto, waar hij zich ook heeft verdiept in de Algemene Gegevensverordening (GDPR) van de Europese Unie, die op 25 mei definitief in werking treedt.

Toestemming vragen

Hij is benieuwd of die Europese regelgeving de bedenkelijke praktijken aan banden zal kunnen leggen. "Ik heb zelf onlangs het Facebook-profiel van zowel mijn vrouw als mij gedownload. Daarin kun je zien welke adverteerders jouw e-mailadres hebben gebruikt om Facebook-campagnes op te zetten. Soms zitten daar bedrijven tussen waarvan je weet dat je daar nooit een e-mailadres aan hebt toevertrouwd."

En het is maar de vraag of bedrijven die het niet te nauw nemen met de nieuwe regels zullen worden afgestraft. Baert is daar niet heel erg optimistisch over. "Ik verwacht in de eerste plaats veel waarschuwingen. Rechtszaken kosten veel geld en tijd."

Tegelijkertijd zit Maes soms met klanten aan tafel die zich zorgen maken. Ze stellen vast dat ze niet meer weten hoe ze bepaalde gegevens hebben verzameld en in welk soort marketingacties ze hebben gediend. "Wij hebben enkele dagen geleden zelfs een juriste aangenomen zodat we zeker zijn dat we de Europese regelgeving respecteren."

Hij vreest wel dat deze hetze weleens fataal voor Facebook zou kunnen worden. "De custom audiences-tool, waarbij je telefoonnummers of e-mailadressen gebruikt om op die manier aan targetting te doen is de meest gebruikte techniek bij mijn klanten. Maar die blijven handhaven is lastig als je de regels van de GDPR wil naleven. Zo zou je mensen om toestemming moeten vragen als je hun e-mailadres of telefoonnummer wil gebruiken om marketingacties mee te organiseren. Wie gaat zich daarmee bezighouden?"

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234