Confiant expose un système de bourrage de cookies qui vole des crédits d’attribution depuis des années – Systeme io

Confiant expose un système de bourrage de cookies qui vole des crédits d’attribution depuis des années – Systeme io


La société de sécurité publicitaire Confiant affirme avoir identifié un système de bourrage de cookies en cours qui aurait été perpétré par Dataly Media, une plateforme de marketing d’affiliation basée en Équateur.

Les prétendues pratiques de bourrage de cookies de Dataly Media remontent à au moins 2015 et sous-tendent une grande partie des activités de marketing d’affiliation de l’entreprise menées depuis lors, selon Confiant. Cependant, Confiant n’a pas été en mesure de fournir une estimation des revenus que Dataly Media a tirés de ces pratiques.

Dataly Media a diffusé environ 125 millions d’impressions d’annonces display rien qu’en 2022, estime Confiant, mais on ne sait pas combien de ces emplacements ont fait l’objet d’un bourrage de cookies. En 2022, Dataly Media était actif sur au moins quatre DSP ; Confiant a refusé de nommer ces DSP.

Qu’est-ce que la farce aux cookies ?

« Le bourrage de cookies consiste essentiellement à voler des conversions », a déclaré Jerome Dangu, co-fondateur et CTO de Confiant.

Dataly Media serait payé pour ces conversions prétendument volées par des annonceurs exécutant des campagnes au coût par clic (CPC), au coût par prospect (CPL) et au coût par acquisition (CPA).

Dans le marketing d’affiliation, les pixels de suivi prouvent si une conversion (comme une inscription à un abonnement ou un achat de produit) a résulté d’un utilisateur visitant un site particulier ou cliquant sur un lien de marketing d’affiliation particulier.

Mais dans un système de bourrage de cookies, un mauvais acteur intègre du code dans la création publicitaire. Le code supprime un pixel de suivi pour un site Web autre que celui qu’un utilisateur visite actuellement, à l’insu de l’utilisateur ou sans son consentement. Les plates-formes de marketing d’affiliation attribuent ensuite toutes les conversions effectuées par un utilisateur à un site que l’utilisateur n’a jamais visité.

Parce qu’il a un siège sur les DSP, Dataly Media est en mesure d’enchérir sur l’inventaire publicitaire mis aux enchères par des sites d’éditeurs sans méfiance. En remportant une enchère publicitaire, Dataly Media placerait des publicités prétendument intégrées avec un code de bourrage de cookies qui chargerait un ou plusieurs iframes cachés dans la création publicitaire.

La page de destination d’un annonceur, y compris les outils de suivi des clics associés, s’afficherait alors à l’intérieur de ces iframes masqués à l’insu de l’utilisateur. Les trackers de clics déclenchent l’attribution dans la plate-forme de marketing d’affiliation Eficads de Dataly Media ainsi que dans les plates-formes de marketing d’affiliation tierces et les fournisseurs d’attribution.

L’effet est le même que si l’utilisateur avait cliqué sur une annonce pour un produit et atterri sur la page de destination de l’annonceur. Mais plutôt que d’attribuer la visite de la page de destination et toutes les transactions effectuées au site que l’utilisateur a réellement visité, les pixels de suivi attribuent les conversions à un site de marketing d’affiliation conçu pour la publicité (MFA) complètement distinct, détenu et exploité par Dataly Media – par exemple, thetop3.com. Ensuite, les annonceurs sont tenus de payer l’éditeur exploité par Dataly Media pour leurs campagnes CPC, CPL et CPA.

Chemins d’approvisionnement « sales » et « propres »

Dataly Media exploiterait un certain nombre de sites MFA qui sont utilisés pour siphonner le crédit d’attribution. Ces sites MFA semblent légitimes car ils attirent une bonne quantité de trafic valide, même s’il s’agit d’un trafic acheté via des widgets de recommandation de contenu comme Taboola.

En ce sens, le prétendu système de bourrage de cookies implique ce que Confiant appelle un chemin d’approvisionnement « sale » qui contient du trafic invalide généré par la publicité malveillante et un chemin « propre » qui contient du trafic valide (bien que principalement payant).

Dataly Media blanchit prétendument le trafic du site invalide fabriqué par le système de bourrage de cookies en le confondant avec le trafic valide généré par la publicité native.

Par exemple, le site MFA thetop3.com de Dataly Media est spécialisé dans les listes « Top 3 » qui font la promotion de produits via des liens d’affiliation. Ainsi, si un annonceur lance une campagne de marketing d’affiliation via thetop3.com, il ne serait pas surpris de voir un grand nombre de visites de pages de destination attribuées provenant de thetop3.com. Mais certaines de ces visites de pages de destination sont fabriquées via le système présumé de bourrage de cookies et volées sur d’autres sites d’éditeurs.

« Ainsi, si un annonceur ou une plateforme affiliée examinait les données, il verrait qu’il a de nombreux visiteurs de thetop3.com et une bonne quantité de conversions. Mais le nombre de visiteurs (valides) est essentiellement composé de trafic acheté sur Taboola pour très bon marché », a déclaré Dangu.

En plus de Dataly Media, Confiant a identifié trois principales entités juridiques impliquées dans le prétendu stratagème de bourrage de cookies : Just Media Group (rebaptisé Just Click Media), Eficads et Tredia Solutions. Dataly Media, Eficads et Tredia Solutions semblent être exploités par le groupe global Just Media, mais la structure de propriété du groupe n’est pas claire, a déclaré Dangu.

Pour garder une longueur d’avance sur les efforts visant à identifier tout prétendu méfait, Dataly Media aurait créé plus de 100 domaines de diffusion d’annonces et s’est associé à un large éventail de plateformes publicitaires.

Le bourrage de cookies passe souvent inaperçu et impuni parce que le marketing d’affiliation regorge de mauvais acteurs, a déclaré Dangu. Le problème est peut-être plus répandu que l’industrie ne veut l’admettre, a-t-il déclaré. La responsabilité incombe souvent aux fournisseurs qui examinent la création publicitaire et la fraude publicitaire au niveau de l’impression pour signaler ces pratiques.

« Il ne s’agit pas de trafic de robots, et techniquement, il n’attaque pas tant les utilisateurs que de créer de fausses impressions. Donc, autant que cela dilue la qualité des programmes d’affiliation, cela est complètement caché dans les calculs de la comptabilité et dans la façon dont l’industrie est organisée pour résoudre ce problème », a déclaré Dangu.

Le mal fait

Mais les prétendues pratiques de bourrage de cookies de Dataly Media créent une série de problèmes pour les éditeurs et les annonceurs, a-t-il déclaré.

Pour les annonceurs, le trafic incorrect dégrade les performances de la campagne et fausse les données utilisées pour le ciblage. Le trafic incorrect peut également affecter les mesures de performances telles que le coût par clic.

Pendant ce temps, les sites des éditeurs sont enlisés par la charge réseau requise pour rendre les iframes masqués dans la création publicitaire, ce qui entraîne des problèmes de latence pour les visiteurs du site.

Et l’absence de consentement de l’utilisateur pour l’utilisation de pixels de suivi tiers signifie que des parties involontaires pourraient être accusées de ne pas se conformer aux réglementations sur la confidentialité des données telles que le RGPD européen. En fait, Confiant a constaté que 76 % des publicités présumées bourrées de cookies diffusées par Dataly Media en 2022 ont été diffusées à des utilisateurs européens en violation du RGPD.

Dataly Media est enregistré dans la liste mondiale des fournisseurs du TCF sous le nom de Tredia Solutions. Cependant, sa divulgation de stockage de périphérique ne contient que quelques-uns des domaines associés de Dataly Media, avec un certain nombre de domaines non déclarés sous TCF.

« L’IAB a une certaine compétence ici pour l’application, car (Dataly Media) est un fournisseur non conforme (sous TCF) », a déclaré Kaileigh McCrea, ingénieure de la confidentialité chez Confiant. « La violation au niveau du RGPD serait généralement appliquée par l’autorité de protection des données du pays où l’entreprise a son siège. De plus, certaines actions pourraient être intentées au nom d’utilisateurs dans certains pays.

Confiant a porté ses conclusions à l’attention de l’IAB Europe. Il a également contacté Just Media Group, mais n’a reçu aucune réponse.

AdExchanger a contacté IAB Europe et Dataly Media, mais n’a pas eu de réponse avant la publication.

Laisser un commentaire