轉載/ NK冬至 首席數據科學家
「 今天和大家聊聊一個比較常見的現象:為啥剛聊過的一個商品,很快就收到了廣告。我的手機或者微信是被監控了嗎?」
微信,咱們每個人都在使用,各種聊天內容充滿了隱私。經常有朋友感覺自己在微信的聊天記錄被「監聽」了。直觀的表現就是剛聊了某個話題,結果很快朋友圈就有了相關廣告。這種情況,我也遇到過。
這其實涉及了兩部分的內容,一部分是個人隱私保護(可參考《個保法實施對互聯網的影響》、《聯邦計算促進隱私安全》),一部分是廣告營銷知識(可參考《在線廣告知識大全》等)。
今天,咱們好好聊聊被「監聽」背後到底是怎麼一回事。
1、現象描述:我的聊天記錄泄露了
差不多是上上個月吧,我的朋友圈突然連續兩天推送了某掃地機械人的廣告:
按理說,平時每天的朋友圈廣告挺多的,一般不咋關注。但這兩條廣告,成功吸引了我的注意。為啥呢?
首先,如果推送的是掃地機械人的廣告,比如科沃斯、雲鯨、石頭等,我其實是可以理解的。因為我618剛剛購買了科沃斯的掃拖一體機,買之前重點關注對比了以上三個品牌的機械人,淘寶、京東肯定有相關的搜索瀏覽記錄。因此基於相關的行為進行的定向投放,我是可理解的。
但是!這個掃地機械人是「添可」!這個品牌我從來沒有關注過,也沒有研究過。而唯一對這個品牌有的認知,是我收到廣告的前一天,在工作上,和添可機械人有了交集。
對,僅僅是一天前。
一天前,有同事和我反饋【添可掃地機械人】賬號存在一些權限相關問題,我進行了產品層面的一些排查。這是我和添可第一次也是唯一的一次交集。我翻閱了我的處理過程,在對話過程中,我打出了【添可官方旗艦店】7個字。這個對話過程,是在我們京東內部的聊天系統咚咚和流程處理平台XBP上完成的。
好了,大家一起動動小腦筋,我這種情況的發生,到底是誰在背後偷偷搗鬼了呢?
2、來破案:誰泄露了聊天內容
所以,到底是誰泄露了我的聊天?
(1)可能性1:單純的巧合
是單純的巧合嗎?我剛知道這個品牌,第二天就剛好碰巧被廣告砸中了?確實存在這種可能性,但是可能性有多大呢?
像添可這種小品牌,起碼目前在消費者心智中佔據位置有限的品牌,理論上來講營銷費用往往有限,不可能大撒網投放廣告,進行品牌宣傳。我被偶然觸達的幾率,實在太小了。
(2)可能性2:員工系統泄露
是京東內部系統泄露?當然不可能了。
主動泄露?自己公司內部的聊天記錄,全是商業機密,絕無可能主動泄露。
被動泄露?京東一群做數據安全的大佬,肯定不會讓這麼低級的事情發生。各種數據隔離、各種反黑措施,不可能允許這種事情的存在。
這裡順道聊聊大家經常覺得是微信泄露了個人聊天記錄,這裡我個人覺得應該不是微信泄露的。為此,我特意查了一下微信服務器到底是否有保存我們個人的聊天記錄:
在微信的《隱私保護指引》文檔中,也清楚表達了不存儲聊天記錄的意思。當然這也意味着用戶的聊天記錄如果本地刪除,是無法恢復的。具體微信是否真的沒保存,咱們不得而知,但我傾向於相信。畢竟,在個保法案施行的背景下,說謊的成本過高了。
之前還有個流傳較廣的圖,既然法院都無法從微信調取記錄,極有可能真的就是沒存儲,更談不上利用聊天記錄進行人群畫像等內容了。
(3)可能性3:輸入法
剩下的唯一可能性就是:輸入法泄露了隱私。
因為無論是聊天,還是回復系統消息,都是用輸入法打出來的字。而我的輸入法是搜狗輸入法,移動端也使用過,這才使得全鏈路的廣告流程形成了閉環。
3、數據流轉全鏈路
下面,我們詳細分析一下,為啥我在電腦上打的字,在手機的朋友圈中看到了廣告。這其中的數據是如何流轉的。
第一步:輸入法數據收集
首先,我們所有打字的內容,都會被輸入法記錄下來,存儲下來。包括你用第三方輸入法輸入的各類密碼。
在我這個例子中,我用輸入法,在電腦上打出了【添可官方旗艦店】幾個字,一定是被記錄在案了。記錄的內容我猜一下,包括了用戶ID、時間、文本內容等。
第二步:對人群數據處理
這其實就是進行一些打標籤的處理。
不過針對輸入法,主要的數據都是文本數據,基本也就是做一些NLP的處理,比如分詞等。
我這個例子中,可能對【添可官方旗艦店】進行了分詞:【添可】【官方】【旗艦店】。然後從中識別了核心品牌詞【添可】。
也就是說,搜狗識別出了我和【添可】這個關鍵詞是有關聯的。
第三步:廣告主進行人群選擇
上面兩個步驟,都是搜狗進行的數據處理與操作。下面,我們切換一下角色,是品牌方、也即廣告主:添可品牌的營銷投放人群進行的操作。
首先,品牌要進行人群定向的選擇,即篩選本次投放的目標人群。
通常來講,廣告系統會提供一些定向人群的基礎維度。上面的截圖比較清楚的看出來,微信廣告支持的定向人群類別:地域、受眾屬性、偏好、手機設備、再營銷、媒體類別、自定義人群。
看上圖很明顯,在微信廣告中,無法直接基於搜狗輸入法的數據進行人群的圈選投放。那添可品牌想投放人群,就只能通過【自定義人群】了。所謂的自定義人群,就是指在微信廣告系統中,上傳人群包的方式進行人群的圈選(可以參考《人群包的創建方式》)。
在這個case中,添可品牌通過圈選最近使用了搜狗輸入法打了【添可】關鍵詞的人群,把這群人的ID生成list人群包。很不幸,我在其中。
這裡有個問題,品牌是如何拿到搜狗輸入法用戶輸入的數據呢?這個問題,我可能很難解答。有可能是搜狗直接對外開放了API進行商業化,也有可能其他渠道。總之,絕對是搜狗通過某種方式,把搜索數據進行了外漏。
第四步:將目標人群上傳到微信廣告系統
有了人群包,需要在微信廣告系統進行投放。
對了插一句,騰訊廣告和微信廣告是兩個系統。朋友圈、公眾號等相關的廣告,都是在微信廣告中完成的,而不是騰訊廣告。
然後把人群包以文件的形式上傳到微信廣告後台,生成了自定義人群。
這裡有個重要的內容,是關於ID-mapping的。可以參考一下《用戶ID打通》相關的文章。所謂的ID-mapping就是確定「你」是「你」的過程。不過搜狗輸入法通常的登錄ID都是手機號或者QQ、微信,和微信廣告可以天然打通,問題不大。
第五步:廣告投放,用戶看到廣告
最後一步,在微信廣告後台對上傳的人群包進行匹配、廣告內容設置、完成廣告投放,用戶也就看到了廣告。
4、一些啟示
為啥詳細和大家拆解一下這個案例呢?
一個目的是想和大家分享一下,為啥在一個APP中的行為,會被投放到另一個APP中,這種現象背後是如何實現的。比如,你在京東搜索了某個商品,在抖音上看到了推廣。背後本質的原理差不多。
另一個目的就是提醒大家,不要忽視輸入法數據泄露的嚴重性。因為他實在是太隱蔽了。大家可以好好想想,是不是經常APP輸入賬號密碼、支付密碼的時候,都是強制彈出APP自帶的鍵盤呀?這就是為了避免大家使用第三方輸入法導緻密碼的外泄。
我反正手機APP用的輸入法都是iOS自帶的輸入法,雖然難用,但是好歹相比搜狗輸入法,能安全一些。
今天先聊這些,感謝大家的關注!
