O SSP Colossus, acusado de injetar ID's falsos em bid requests
Num relatório publicado pela Adalytics, é sugerido que o Colossus SSP tem enviado sistematicamente IDs de utilizador falsos para Ad Exchanges.
O relatório, que examinou dados publicamente disponíveis através do código-fonte de publicidade e respostas de bids oferecidas pela The Trade Desk em nome de vários anunciantes e publishers, revelou que, entre 16 SSPs comuns, 15 alcançaram uma correspondência exata entre os IDs do utilizador declarado e aqueles armazenados nos navegadores dos utilizadores. Contudo, Colossus destacou-se como uma exceção por apresentar frequentemente IDs incompatíveis.
Por que isso é relevante? A publicidade programática depende muito de IDs de utilizador para direcionar anúncios a públicos específicos. Estes IDs contêm informações valiosas sobre as características demográficas e hábitos de navegação dos utilizadores. Para os anunciantes, conseguir uma segmentação precisa destes IDs pode fazer uma diferença significativa na eficácia das suas campanhas. Portanto, uma discrepância entre os IDs armazenados nos navegadores dos utilizadores e os IDs apresentados aos compradores de media pode resultar na exibição de anúncios para públicos errados.
“Com base nas informações e evidências que analisamos, parece que a Colossus apresentou incorretamente os IDs dos utilizadores, o que difere marcadamente das expectativas dos anunciantes”, disse Jay Friedman, CEO do Goodway Group, uma agência de marketing digital.
Além de afectar os interesses dos anunciantes, a representação incorrecta dos IDs dos utilizadores pode ter consequências significativas para a privacidade dos dados dos utilizadores. Identificações imprecisas podem impedir os utilizadores de exercerem os seus direitos ao abrigo da legislação de privacidade fundamental, como o RGPD da UE ou as 15 leis de privacidade estaduais dos EUA, uma vez que os utilizadores podem não conseguir verificar as informações recolhidas sobre eles.
Um porta-voz da empresa controladora da Colossus, Direct Digital Holdings (DDH), disse que não teve a oportunidade de rever o relatório antes da sua publicação, apesar dos “pedidos repetidos”. No entanto, o porta-voz da empresa Colossus comentou: “Acreditamos que houve uma tentativa deliberada de obter ganho financeiro ao tentar desacreditar o desempenho e as operações da DDH... Fomos informados de um relatório de investigação da Adalytics, uma entidade com fins lucrativos, que deliberadamente faz afirmações falsas, enganosas e imprecisas..."
A Colossus insiste que as afirmações da Adalytics “não refletem com precisão as interconexões dentro da cadeia de valor programática e o papel da Colossus SSP através do The Trade Desk”. Especificamente, observou que a Colossus não transfere diretamente nenhum ID de utilizador do The Trade Desk ao participar de bid requests, mas sim por meio de “um intermediário comercial público”. Segundo o porta-voz, esta prática é realizada para cumprir os regulamentos do The Trade Desk e do OpenRTB, um framework padronizado que regulamenta a negociação de media no ecossistema programático. Esse “intermediário” é o BidSwitch, que nada mais é do que um “middleware” que conecta os players dentro do ecossistema programático.
Embora a Colossus aponte para o BidSwitch, a Criteo ( que adquiriu a IPONWEB, empresa proprietária do BidSwitch) defende a integridade do papel desempenhado por esta plataforma. “O BidSwitch opera como uma plataforma de passagem neutra, enviando tráfego de SSPs para DSPs sem manipular o conteúdo das solicitações de bids de SSP ou respostas de bids de DSP”, disse Ryan Damon, conselheiro geral da Criteo, em comunicado. Damon observou que a Bidswitch faz isso há mais de 11 anos com centenas de parceiros em todo o setor, incluindo os maiores. Além disso, observou que qualquer sugestão de que a BidSwitch seja responsável pela manipulação do conteúdo das bid requests do Colossus SSP é falsa e encorajou todas as partes a investigarem mais antes de fazerem declarações enganosas.
O relatório da Adalytics também explica que ao comparar o Colossus com outro SSP que faz transações por meio do BidSwitch, o TrustX, as discrepâncias entre os IDs declarados e reais foram observadas apenas com o Colossus, não com o TrustX.
Então, o que podia estar acontecer?
A Adalytics não acusa a Colossus de deturpar intencionalmente os IDs dos utilizadores, nem especula sobre as motivações da empresa. No entanto, uma fonte não revelada disse ao The Drum que as descobertas sugerem que o Colossus pode ter feito proxy intencional de IDs de utilizadores, uma prática que poderia induzir os compradores de media a acreditar que estão a adquirir públicos de qualidade superior do que realmente pensavam.
“Esta investigação diz-nos que milhões de dólares investidos na identificação de públicos-alvo e na adaptação de criatividades a esses públicos podem estar a ser desperdiçados”, afirmou no relatório um executivo de um anunciante da Fortune 500. “Além disso, isso cria uma má experiência para o consumidor, pois os anúncios exibidos podem ser completamente irrelevantes”.
Outro executivo disse que, ao rever os seus dados proprietários, inicialmente pensaram que a Colossus poderia estar simplesmente a fazer “ponte de ID de utilizador”, que é uma técnica que vincula IDs de utilizadores entre diferentes plataformas ou ambientes, especialmente em situações em que métodos tradicionais de rastreamento, como cookies, estão indisponíveis ou ineficazes. Consiste em relacionar IDs de utilizadores num ambiente, como um navegador com cookies de terceiros, a outro ambiente com cookies de terceiros limitados ou diferentes tipos de sinais de dados, como aplicativos móveis ou um navegador sem cookies, como o Safari. Isso permite que os players da AdTech façam uma estimativa informada sobre o ID de um utilizador.
O objetivo desta prática é garantir consistência na segmentação e rastreamento de utilizadores em vários pontos de contato, permitindo que os anunciantes ofereçam experiências mais personalizadas e consistentes. Quando os sinais determinísticos não estão disponíveis, é geralmente considerado aceitável, desde que seja feito de forma transparente e ética, salvaguardando assim a privacidade do utilizador.
Existem motivos legítimos para usar ponte de ID de utilizador, embora nem sempre seja necessário, especialmente quando IDs determinísticos de longo prazo estão disponíveis, como cookies de terceiros. Na verdade, distorcer os IDs dos utilizadores através da ponte de IDs dos utilizadores em situações em que existem IDs precisos e determinísticos poderia enquadrar-se na definição de “Tráfego Inválido Sofisticado” do Media Review Council e, portanto, ser considerado fraudulento.
No entanto, Colossus pode estar a fazer algo mais complicado e potencialmente nefasto. Se um SSP como o Colossus quisesse enganar os compradores de media para que pagassem quantias mais altas, estes poderiam alterar rotineiramente o ID associado ao perfil de um utilizador ou dispositivo exclusivo, deturpando o ID do utilizador durante as solicitações de lance. O SSP poderia fazer isso para induzir um comprador de media a acreditar que está alcançando um utilizador de maior valor ou para evitar o limite de frequência e, assim, ganhar mais dinheiro bombardeando um utilizador com o mesmo anúncio repetidamente. Esse comportamento, conhecido como rotação de ID, pode levar a imprecisões na segmentação e na medição do anúncio. e é considerada uma prática antiética na indústria.
“A rotação de ID ajuda os SSPs, no curtíssimo prazo, a aumentar a receita para eles próprios e para seus publishers numa chamada de anúncio”, diz Friedman, do Goodway Group. Mas é um jogo perigoso, alerta. “É claro que, uma vez descoberto, é mais provável que percam receitas significativas à medida que os anunciantes perdem a confiança”.
O executivo de publicação de media, que usa o Colossus, encontrou algumas anomalias em seu código-fonte. A equipe configurou uma variedade de dispositivos para testar que tipo de ID aparecia e ganhava leilões em seu site. Dos 33 SSPs utilizados pela empresa, todos, exceto o Colossus, apresentavam IDs que correspondiam aos IDs dos dispositivos que haviam configurado. Às vezes, o Colossus apresentava IDs que não correspondiam aos IDs do dispositivo. A fonte adverte que a experiência interna da equipa foi limitada em escala e que uma avaliação de terceiros por um grupo como o Adalytics provavelmente apresentaria um quadro mais completo.
Outra fonte consultada afirma que vários DSPs levantaram preocupações sobre a Colossus e, na terça-feira desta semana, essa empresa interrompeu todos os seus negócios com a Colossus.
Poderia ser culpa dos parceiros de verificação de anúncios?
A Colossus tem parceria com pelo menos três empresas de verificação de anúncios e antimalware: Human, Moat (Oracle) e Confiant. Embora estas associações sugiram um compromisso no combate à fraude publicitária, as discrepâncias observadas nas IDs dos utilizadores levantam questões sobre a eficácia destas medidas.
O porta-voz da Direct Digital Holdings disse: “A Colossus SSP sempre foi diligente quando se trata de qualidade e transparência, trabalhando com Human, Confiant, Moat e outros parceiros confiáveis da indústria para garantir que atendamos aos mais altos padrões de oferta”. O porta-voz também enfatizou que “integridade, responsabilidade e transparência” são “valores fundamentais” da empresa.
O site da empresa indica que a Human trabalha com o SSP antes e depois para mitigar fraudes, enquanto a Moat fornece à Colossus visibilidade e métricas de tráfego inválidas. Tanto Human quanto Moat são credenciados pelo Media Review Council para 'Detecção/filtração sofisticada de tráfego inválido', bem como certificados pelo Trustworthy Accountability Group. A Confiant, por sua vez, oferece varredura criativa e medidas de segurança ao SSP para evitar malware ou sequestro de anúncios.
No entanto, nem todos os intervenientes da indústria estão confiantes na capacidade dos fornecedores de verificação para detectar imprecisões, deturpações ou mau comportamento no ecossistema. O Goodway Group, por exemplo, “recomendou que seus clientes usassem plataformas analíticas, como Fou ou Adalytics, em vez de, e não além de, provedores de verificação”, segundo Friedman. “Nos testes de benchmark, vimos que as plataformas analíticas estavam revelando significativamente mais e mais insights acionáveis sobre como poderíamos minimizar o desperdício de anúncios do que recebíamos dos provedores de verificação”.
Um porta-voz da Confiant comentou que "A Confiant não é um provedor de verificação de anúncios ou prevenção de fraudes. Verificação criativa, anti-malvertising, nossa especialidade, é frequentemente confundida com verificação de anúncios."
Existe um incentivo em jogo?
Embora não esteja claro até que ponto a Colossus está ciente dos seus problemas de deturpação de identidade, a empresa parece estar sob algum grau de pressão financeira. A Direct Digital Holdings revelou em meados de abril que seu contador independente, Marcum, renunciou após um atraso no registro junto à SEC. (A empresa solicitou uma prorrogação no início de abril, dizendo que precisava de mais tempo para concluir a auditoria das suas demonstrações financeiras.) No entanto, a empresa nega ter problemas financeiros. “A DDH permanece bem posicionada operacionalmente e financeiramente forte, com ganhos fiscais estimados em 2023 de US$ 157 milhões e experimentando crescimento contínuo em 2024”, disse um porta-voz da empresa em um comunicado. “Mantemos uma forte relação financeira com os nossos parceiros e estamos empenhados em melhorar e fortalecer continuamente os nossos produtos e serviços”, acrescentou.
“Defenderemos vigorosamente a reputação da nossa empresa e buscaremos todas as ações e soluções legais apropriadas para resolver essas declarações intencionalmente falsas e deturpações fundamentais”, acrescentou o especialista.
Esta não é a primeira vez que a Adalytics gera polêmica com acusações de mau comportamento no setor AdTech. No mês passado, a empresa acusou a Forbes de operar um subdomínio secreto e com spam destinado à publicidade, levando grandes marcas como Microsoft e Disney a acreditar que estavam comprando publicidade no principal site de notícias do publisher. No verão passado, o Adalytics ganhou as manchetes ao destacar algumas das práticas antiéticas de publicidade do Google.
O relatório da Adalytics sobre o Colossus conclui com um apelo à ação, instando os compradores de media a serem escrupulosos ao avaliarem seus parceiros SSP e DSP e, em última análise, assumirem o controle da saúde de seus investimentos em media. “As marcas e as entidades AdTech são incentivadas a auditar as suas próprias compras de media”, diz o estudo, “para analisar quanto cada entidade transacionou com qualquer fornecedor e se a entrega de anúncios através desse fornecedor foi consistente com as suas expectativas”.