• В отчете Adalytics Colossus SSP обвиняется в искажении пользовательских идентификаторов, что может свидетельствовать о мошенничестве.
• Со своей стороны, Colossus SSP отрицает свою ответственность за подделку идентификаторов, ссылаясь на сложности технологии и взаимодействия с партнерами.
• Ситуация осложняется техническими аспектами и различиями в интерпретации данных и требует дальнейшего расследования.

В рекламных технологиях не бывает ничего простого. То, что казалось очевидным случаем мошенничества, на самом деле может оказаться сложнее и многослойнее. В этой статье издание Digiday попыталось глубже разобраться в подробностях скандала с Colossus SSP.

По данным стартапа Adalytics, занимающегося вопросами прозрачности рекламы, со стороны Colossus SSP неоднократно наблюдались случаи искажения идентификаторов пользователей. Более того, измененная идентификационная информация имитировала идентификаторы cookie, которые привлекали высокие ставки от The Trade Desk DSP.

Это поведение напоминает мошенничество.

Вот тут-то и начинаются сложности: Colossus SSP сначала выпустила пресс-релиз с обращением к индустрии, а затем подала в суд на Adalytics за клевету, ложные заявления и недобросовестную рекламу.

Чтобы понять, почему Colossus SSP, которая, на первый взгляд, занималась мошенничеством, так рьяно защищает свою репутацию, необходимо разобраться в том, что именно произошло.

В начале мая, Adalytics обнаружила, что при покупке рекламы The Trade Desk DSP получала от Colossus SSP искаженные идентификаторы (спецификация oRTB). Эти идентификаторы, якобы принадлежащие на премиум-аудитории, на самом деле таковыми не являлись — наблюдались значительные расхождения между характеристиками аудитории, заявленными на момент покупки, и теми, которые реально присутствовали в браузере в момент показа рекламы.

В свою защиту Colossus SSP не стала отрицать результаты исследования, но оспорила обвинение в том, что именно она ответственна за подмену идентификаторов. Генеральный директор Марк Уокер переложил вину на сложность AdTech индустрии — то, что Adalytics также признала в своем отчете.

Вот что Уокер рассказал Digiday в своем заявлении по электронной почте:

«Утверждения, сделанные в отчете Adalytics, явно ложные и демонстрируют тревожное непонимание сложностей программатика. Из-за технических особенностей интеграции множества различных поставщиков, наша система оказывается подвержена различным расхождениям. Наша задача — исправлять их. Даже самые крупные и авторитетные AdTech-компании должны неустанно работать над тем, чтобы все происходило правильно. Colossus SSP имеет опыт успешного сотрудничества с партнерами по любым возникающим вопросам и совместной работы по их немедленному устранени.»

Это действительно может быть так, но аругементы Уокера не является железобетонными — они оставляют достаточно места для сомнений и спекуляций. Примечательно, что он даже не допускает мысли о том, что эти идентификаторы могли быть неправильно подобраны намеренно.

Теория становится правдоподобной только тогда, когда вы понимаете, как эти идентификаторы обрабатываются. Digiday изучил документацию BidSwitch, компании по управлению трафиком и спросом, которую Colossus SSP использовал для продажи инвентаря в The Trade Desk DSP, чтобы получить более четкое представление об этом процессе.

BidSwitch вставляет свой идентификатор пользователя в URL-адрес пикселя синхронизации (т.е. Colossus SSP), который затем загружается в браузер пользователя. Когда он загружается, поставщик автоматически извлекает свою cookie из браузера, создавая прямую связь между идентификатором cookie BidSwitch и идентификатором cookie поставщика. Это происходит одномоментно и здесь оба идентификатора видны.

Этот процесс является стандартным для синхронизации cookie во всех AdTech-компаниях.

Таким образом, Colossus SSP не обрабатывает напрямую идентификаторы пользователей, однако потенциально она может подменять идентификатор cookie при отправке запросов на ставки в BidSwitch. Затем, когда BidSwitch пересылает эти запросы в The Trade Desk DSP, он использует уже подмененный идентификатор.

Если бы все было так, то легко понять, почему отчет Adalytics вызвал такой резонанс. И почему Colossus теперь защищается.

По заявлению владельца Colossus компании Direct Digital Holdings, Digiday неправильно понял документацию. Он путает EID с Buyeruid. Это две разные вещи. Все данные должны синхронизироваться по определенным правилам. Но если бы это было так, то Adalytics не нашли бы случаи подмены.

Однако давайте рассмотрим возможность того, что Colossus SSP не совершал никакого мошенничества. Возможно, все, что было в отчете Adalytics, было просто результатом технического сбоя. Подобные казусы случаются, они происходят довольно часто и по разным причинам. Среди них методы оптимизации доходности, включающие обогащение ставок, вероятностные методы подбора, проблемы интеграции данных, фрагментация устройств и сбои идентификации.

Но обычно, когда такие сбои происходят, их влияние на несовпадение идентификаторов минимально. В случае с Colossus SSP это, похоже, не так. The Trade Desk DSP, Google и другие компании сообщили Adalytics о схожих проблемах и подобные сообщения рисуют неприятную картину. Мало того, идентификаторы продолжают подменяться даже когда BidSwitch не задействован.

«Да, есть и другие платформы, кроме Colossus SSP, которые замечены в подобном, но это не делает подобную практику нормальной», — на правах анонимности прокомментировал руководитель одной из AdTech-компании. «Это все равно мошенничество, когда происходит подмена информации в запросе на ставку.»

И это не просто риторика. Этот анонимный руководитель лично наблюдал за тестами с февраля по май, а результаты проанализировал Digiday.

Результаты тестов показали, что хотя большинство SSP, где он закупает инвентарь, действительно сталкиваются с подобными случаями несовпадения идентификаторов, эти случаи обычно происходят на уровне конкретного издателя. В случае с Colossus SSP такое не наблюдалось. По словам эксперта, идентификаторы никогда не совпадали, что говорит о системной проблеме в работе Colossus SSP.

Понятно, что этот эксперт перестал закупать инвентарь у Colossus SSP. Тот факт, что идентификаторы пользователей постоянно не совпадают, вызывает беспокойство. Если SSP знает, что пользователь использует браузер "123", он не должен искажать запрос на ставку измененной информацией. Единственное возможное объяснение для этого — это либо умышленный обман, либо абсолютная некомпетентность. Любое из этих объяснений крайне плохо для Colossus SSP.

Однако не все не так однозначно.

Доктор Августин Фу из FouAnalytics, независимый исследователь кибербезопасности и рекламного мошенничества, утверждает, что в этом нет ничего злонамеренного.

Вот его объяснение: «Colossus SSP передает идентификатор в BidSwitch, BidSwitch сопоставляет его с имеющимся у него идентификатором из The Trade Desk и отправляет этот идентификатор в запросе на ставку. Ни Colossus SSP, ни BidSwitch не могут прочитать идентификатор The Trade Desk из хранилища браузера, потому что он был установлен adsrvr.org (доменом, принадлежащим The Trade Desk). Ни одна из этих сторон намеренно не подменяла данные. Тот факт, что The Trade Desk DSP отправил другой идентификатор пользователя в своем ответе, говорит о том, что The Trade Desk подал объявление другому пользователю, а не тому, который был указан в хранилище браузера. Так работает технология».

Издателям

Важно регулярно проверять корректность работы рекламы, чтобы избежать возможных проблем с мошенничеством. Работайте с надежными партнерами и используйте понятные технологии. Читайте мой блог, чтобы быть в курсе происходящего :)

Прогноз

Компании будут вынуждены внедрять более строгие меры по контролю данных и прозрачности.

Другие материалы по этой теме:

• Обновление руководства MRC по определению некачественного трафика
• DSP обвиняют SSP и издателей в манипуляциях с пользовательскими данными