PubMatic代码不等待用户同意:为什么出版商需要被设计不信任的

广告科技公司管理数十亿美元的广告报价在成千上万的出版商在几毫秒。

所以,当一个隐私错误通过裂缝,它可以转移到一个潜在GDPR担忧在眨眼之间。

首先,在简单的语言:技术由PubMatic开发和部署在近2500网站,包括酒吧高脚凳体育、格言和Time.com,本周就在配置的方式把卖家和出版商GDPR违规的风险。

爱游戏体育骗子AdExchanger第一次注意到了这个活动Sincera公司,专门从事收集和提供媒体广告科技生态系统遥测数据。尽管Sincera拒绝透露SSP, AdExchanger能够确定PubMatic公司爱游戏体育骗子通过检查代码与我们共享。

PubMatic声称这个问题至少部分是由于一个错误Prebid内的代码。

所以,这里发生了什么,到底是什么?

时间

对于那些说广告技术,这就是Sincera观察:

默认设置在身份中心,PubMatic Prebid-based身份管理工具,是如此之低,以至于有效地忽略用户同意字符串。另外,该工具被认为是推动id身份中心的投标请求其他SSPs在出版商的主要包装(通常是一个Prebid-based包装)。稍后将进行更详细的讨论。

PubMatic发言人说,该公司“从来没有忽略了用户的同意,”坚持任何同意接收信号,只有“通过改变信号其合作伙伴在每笔交易中我们接触。”

但问题不在于身份中心是故意忽略用户同意。相反,它并没有给负载或用户同意管理平台足够的时间足够的时间与机制。

Prebid超时违约为调用CMP获得GDPR同意字符串是10000毫秒(或10秒)。的超时身份中心经常被设置为1毫秒或50毫秒,也就是0.001或0.005秒。

虽然有一个同意模块、身份中心不是等待足够长的时间日志的交互。Sincera创始人伊恩•迈耶斯形容这类似于邀请某人一方通过调用他们的电话然后挂在他们的答案。(简而言之:那个人不会出现你的聚会)。

身份中心的目的是方便出版商与不论身份提供者他们选择在一个托管服务包装器,这意味着它很可能,许多出版商不再需要改变默认设置。

PubMatic告诉AdEx爱游戏体育骗子changer,“审慎”的出版商的客户,“这是迈出了积极的一步重置默认同意超时”所以同意有更多的时间来获取响应查询。

这是自力重置计时器在身份中心同意在497年和500毫秒(1秒)大约一半,这仍远低于Prebid违约。

平均同意超时顶部1600出版商Prebid交通的生态系统,包括身份中心,大约是7.7秒。

为什么这是一个问题吗?

当一个网页加载在欧洲,出版商需要检查同意之前调用一个身份提供者的API与同意的信号。

但这样的低同意超时阈值是不可能的。

身份中心经常会因此铀浓缩请求身份提供者标记为“GDPR = 0,”可能意味着它不相信法律适用于该实例。

如果身份提供者需要这个,他们将最终产生unconsented id,迈耶斯说。

幸运的是,大多数身份提供者不把一个包装的话,他说。他们也检查一个选择在之前丰富理所当然的请求。

然而,这并不总是可能的。服务器端包装,例如,将显示一个SSP的服务器地址,而不是用户的真实IP地址,难以或无法确认人的位置。

“这是一个很好的唤醒呼吁广告技术供应商,“迈耶斯说。上游“你需要知道谁是你,你也不能没有验证假设您已经同意。”

高风险业务

很容易对出版商和甚至SSPs知道这些正在发生的事情。

有无数的传递发生在毫秒上下的供应链来支持可寻址的广告。如果互联网就是一大堆的管子,那么广告科技是一个极大地相互联系的一系列合作在沃伦共存的程序化的管道。

和监管机构对这些管道越来越精通函数和数据流如何在它们之间。这样即使在司法管辖区,同意通常不是必需的,像美国。

但在欧洲地区的非法不荣誉consent-related请求,出版商,没有一个清晰的把握广告科技厂商在做什么把自己高危的执法行动。

“明白你部署和问问题——许多问题——事物如何运作,”迈尔斯说。“如果这一切都有一个结论,那就是思考解决方案可以有一个很大的区别就是隐私安全,知道它是做什么在你的网站上。”

打开

说,是时候回到杂草,因为有一点古怪解压。

许多出版商使用头投标包装器托管多个Prebid模块,实时竞价等用户身份和许可管理。一些也将所谓的“二次包装”部署到特定功能外包给第三方,喜欢身份身份管理的中心。

Sincera,然而,观察身份中心监控Prebid API活动然后替换标识符内发送到所有SSPs发布者身份的主要Prebid包装id检索中心。

这是一个实践被称为身份填料,Sincera联合创始人迈克O ' sullivan说,问题的原因有多种,包括数据泄漏风险和身份表现不佳是因为包装器之间的冲突。

东西被…时髦的

覆盖一个出版商也忽视了现有的标识Prebid的行为准则,即“拍卖层不得修改投标合作伙伴需求,除非特别指示这样做。”

PubMatic公司发言人告诉AdExchanger身份中心”没有替代品,爱游戏体育骗子覆盖或操纵其他包装,除非提供的标识符标识符是过期了。”这位发言人还说,出版商所使用的工具仅仅是“补充报价请求由其他包装”,这完全是出版商的选择。

该公司随后表示,已发现一个错误在“过时的版本”从去年即Prebid Prebid用户ID的模块不是等待足够长的时间得到同意的信号。这个问题是固定的几个月前使用最新版本的Prebid任何人。

PubMatic现在是“鼓励出版商影响更新他们的身份中心和Prebid实例,以便他们使用Prebid 7.0或以上,以防止这个问题的发生,”作者Nishant Khatri说PubMatic产品管理的高级副总裁。

虽然这是一个有效的建议,PubMatic指出的错误无关同意超时默认的身份中心产品,也没有解决覆盖问题的标识符。

Prebid的代码是开源的,任何公司,福克斯的GitHub回购,PubMatic一样,负责自己的实践。

PubMatic还强调,它将从改变报价请求没有得到经济利益,因为各方都获得相同的id,是真的。

这就是为什么从所有这些最重要的结论是,供应商和他们的合作伙伴应该保持定期关注自己,他们的供应商和在每个工具部署。

“我偏爱这个词,被设计不信任,”奥沙利文说。“这意味着,自己做检查——一切。”

爱游戏体育骗子AdExchanger伸手Prebid周二对填料身份问题,这是在提醒的错误PubMatic周四下午。Prebid发言人周二表示,该组织无法置评,但这一问题进行研究。