PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations

Dit paper introduceert PixelConfig, een framework voor het reverse-engineeren van Meta Pixel-configuraties, en onthult dat gezondheidswebsites tot 98,4% gebruikmaken van ingebouwde functies voor activiteits- en identiteitsvolging, waarbij zelfs gevoelige medische informatie wordt getrackt ondanks beperkte en vaak te omzeilen privacybeperkingen.

De kern

Stel je voor dat je een website bezoekt, zoals een online apotheek of een nieuwsblad. Terwijl je daar rondkijkt, is er een onzichtbare spion verborgen in de code van de site. Deze spion heet de "Meta Pixel" (voorheen Facebook Pixel).

In het verleden wisten onderzoekers alleen dat deze spionnen overal zaten. Maar ze wisten niet precies wat ze deden of hoe ze waren ingesteld. Is hij alleen maar aan het tellen hoeveel mensen op de site komen? Of is hij ook aan het kijken wat je precies aanklikt, of hij probeert je te herkennen?

Dit onderzoek, genaamd PixelConfig, is als een detective die de geheime handleiding van deze spionnen leest. De onderzoekers hebben een slimme methode ontwikkeld om de instellingen van deze spionnen "omgekeerd" te analyseren (reverse-engineering). Ze hebben gekeken naar duizenden websites, met name gezondheidswebsites (zoals ziekenhuizen en artsen), en vergeleken ze met de meest populaire websites ter wereld.

Hier is wat ze hebben ontdekt, vertaald in begrijpelijke taal:

1. De "Standaardinstellingen" zijn de boosdoeners

Stel je voor dat je een nieuwe auto koopt. De meeste mensen rijden gewoon met de standaardinstellingen: de radio staat hard, de airco staat op 20 graden, en de navigatie is aan. Ze veranderen zelden iets.

Dat is precies wat websites doen met de Meta Pixel.

• Wat ze doen: De pixel is zo ingesteld dat hij automatisch alles meekrijgt: welke knoppen je aanklikt, welke pagina's je bezoekt, en zelfs de tekst op die pagina's.
• Het resultaat: Op 98% van de websites (zowel gezondheidszorg als nieuws) staat deze "alles-aan"-stand aan. De eigenaren van de websites veranderen dit zelden, omdat het de standaard is.
• Het probleem: Op gezondheidswebsites betekent dit dat de pixel ziet als iemand op een knop klikt met de tekst "Erectiele dysfunctie" of "HIV-test afspraak maken". De pixel weet dan precies wat je doet, zonder dat jij het merkt.

2. De "Identiteitsdief" (Cookies)

Vroeger waren er regels die zeiden: "Je mag niet meekijken als iemand van de ene website naar de andere gaat" (derde partij cookies). Maar Meta Pixel heeft een slimme truc bedacht.

• De analogie: Stel je voor dat je een visitekaartje (een cookie) krijgt bij de ingang van een winkel. Normaal mag je dat kaartje niet aan de buren laten zien. Maar Meta Pixel plakt een nieuw visitekaartje op je eigen jas (eerste partij cookie) dat je altijd bij je draagt, zelfs als je de winkel verlaat.
• Het resultaat: Zelfs als je browser zegt "Nee, geen cookies van buitenaf!", blijft Meta Pixel je volgen via dit kaartje op je eigen jas. Op 98% van de websites staat deze functie aan. Ze gebruiken dit om te weten wie je bent (via je e-mail of telefoonnummer die je soms invult) en om je later weer te herkennen op Facebook of Instagram.

3. De "Nieuwe Slotjes" die niet altijd werken

Omdat er veel kritiek kwam (vooral van de overheid) op het volgen van gevoelige gezondheidsinformatie, heeft Meta nieuwe "slotjes" toegevoegd.

• De analogie: Stel je voor dat je een huis bouwt en er komen nieuwe regels: "Je mag geen foto's van de slaapkamer maken." Meta heeft een nieuwe functie genaamd Core Setup toegevoegd. Dit zou moeten zorgen dat de pixel alleen de buitenkant van het huis ziet, maar niet naar binnen kijkt.
• Het probleem:
  1. Weinig mensen gebruiken het: Slechts ongeveer 34% van de gezondheidswebsites heeft dit slotje erop. De rest laat de deur gewoon open.
  2. Het slotje is kapot: Zelfs als het slotje erop zit, werkt het niet altijd perfect. Soms "ontsnapt" de pixel nog steeds informatie.
  3. De omweg: Soms gebruiken websites een trucje: in plaats van de volledige URL (bijv. site.com/ziektes/erectiele-dysfunctie) te sturen, sturen ze een versleutelde code van die URL. De pixel ziet dan niet de tekst, maar de code. Meta kan die code echter vaak wel weer ontcijferen. Het is alsof je een brief in een envelop stopt, maar de envelop is zo dun dat je de tekst erdoorheen kunt lezen.

Waarom is dit belangrijk?

De onderzoekers zeggen: "We dachten dat de regels en de technologie ons beschermden, maar dat is niet zo."

• Gezondheidsinformatie is gevoelig: Als je zoekt naar informatie over een ziekte, wil je niet dat een reclamebureau dat weet.
• De schuld ligt bij de instellingen: Veel websites denken dat ze veilig zijn, maar ze gebruiken de standaardinstellingen die alles doorgeven.
• De oplossing werkt niet helemaal: De nieuwe "privacy-functies" van Meta zijn er, maar ze worden niet goed gebruikt en zijn soms te makkelijk te omzeilen.

Kortom: De Meta Pixel is als een onzichtbare cameraman die overal staat. Hij is ingesteld om alles op te nemen, zelfs de meest privé momenten op gezondheidswebsites. Hoewel er nu nieuwe regels zijn om de camera af en toe te blokkeren, doen de meeste mensen het niet, en als ze het wel doen, is de camera soms nog steeds aan het kijken door een kier.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations", vertaald en samengevat in het Nederlands.

Probleemstelling

Tracking-pixels (zoals de Meta Pixel) worden routinematig gebruikt voor het optimaliseren van online advertentiecampagnes via personalisatie, retargeting en conversietracking. Hoewel er veel onderzoek is gedaan naar de prevalentie van deze pixels op het web, is er weinig bekend over hoe ze daadwerkelijk geconfigureerd zijn.

• De Gaping: De aanwezigheid van een pixel op een website vertelt niets over welke specifieke functies (zoals het verzamelen van klikdata, cookies of gevoelige informatie) zijn ingeschakeld.
• Technische Uitdaging: Het analyseren van configuraties is moeilijk omdat:
  1. Openbare documentatie vaag is.
  2. Toegang tot adverteerdersportals vereist is (wat niet mogelijk is voor onderzoekers zonder account).
  3. Dynamische analyse (crawl-en-simuleer) onvolledig is en retrospectieve analyse beperkt.
  4. Statische analyse van JavaScript-code lastig is door obsfucatie en minificatie.
• Specifiek Risico: Op gezondheidswebsites kan tracking leiden tot het verzamelen van gevoelige medische informatie (bijv. zoekopdrachten naar ziektes, afspraken maken), wat in strijd kan zijn met wetgeving zoals HIPAA en privacyregels.

Methodologie: PixelConfig

De auteurs introduceren PixelConfig, een framework voor reverse-engineering dat statische en dynamische analyse combineert om de configuratie van Meta Pixels te achterhalen. Het framework werkt via een differentiële analyse:

1. Reverse-Engineering via Patching:

   • De auteurs nemen de broncode van de configuratiescript van een pixel en passen deze iteratief aan (patchen) door specifieke regels (bijv. instance.optIn of config.set) uit te commentariëren of te verwijderen.
   • Ze spelen deze "gepatchte" script opnieuw af in een browser (via Chrome DevTools) en analyseren het netwerkverkeer naar Meta's servers.
   • Door het verkeer van de originele versie te vergelijken met de gepatchte versie, kunnen ze precies identificeren welke code-regel verantwoordelijk is voor welke tracking-functie (bijv. het sturen van een specifieke cookie of het filteren van een URL-parameter).

2. Validatie via Testomgeving:

   • De auteurs hebben een testwebsite opgezet en een Meta-ontwikkelaarsaccount aangemaakt.
   • Ze hebben verschillende instellingen in de Meta Business Manager handmatig gewijzigd en geobserveerd hoe dit de client-side configuratiescript en het netwerkverkeer beïnvloedde. Dit diende als "ground truth" om de reverse-engineering resultaten te valideren.

3. Datacollectie (Longitudinale Analyse):

   • Bron: Internet Archive's Wayback Machine.
   • Dataset: 18.000 gezondheidsgerelateerde websites (bronnen: AHA en CMS) en een controlegroep van de top 10.000 websites.
   • Periode: 2017 tot 2024.
   • Proces: Het extraheren van Pixel-ID's uit HTML-snapshots en het ophalen van de bijbehorende configuratiescripts (signals/config/<PixelID>) voor analyse.

Belangrijkste Bijdragen

1. PixelConfig Framework: Een nieuw, reproduceerbaar framework om de configuratie van tracking-pixels te reverse-engineeren zonder toegang tot adverteerdersaccounts.
2. Gedetailleerde Mapping: Een complete mapping van configuratiefuncties in de JavaScript-code naar specifieke tracking-gedragingen (activiteit, identiteit, beperkingen).
3. Longitudinale Studie: De eerste studie die de evolutie van Meta Pixel-configuraties over een periode van 7 jaar analyseert, specifiek met een focus op gezondheidswebsites versus een controlegroep.
4. Open Data: De publicatie van de PixelConfig-tool en de verzamelde dataset voor toekomstig onderzoek.

Resultaten en Bevindingen

De studie analyseert drie categorieën van tracking:

1. Activiteitstracking (Wat doet de gebruiker?)

• Automatische Events: Functies zoals AutomaticSetup en InferredEvents (die automatisch klikken en metadata verzamelen) zijn standaard ingeschakeld.
  • Adoptie: Tot 98,4% van de websites (zowel gezondheids- als controlegroep) gebruikt deze functies.
  • Trend: Er is een daling in 2023/2024, waarschijnlijk omdat Meta AutomaticSetup heeft vervangen of gedeprecieerd ten gunste van InferredEvents of Core Setup.
• Event Setup Tool: Adverteerders gebruiken deze tool om specifieke gebeurtenissen te koppelen aan knoppen.
  • Gevoelige Data: Gezondheidswebsites gebruiken deze tool om specifieke medische interacties te tracken, zoals het klikken op knoppen voor "erectiele dysfunctie", "HIV-testen", "geboortecontrolepillen" of het plannen van afspraken.

2. Identiteitstracking (Wie is de gebruiker?)

• Eerste-partij cookies: Cookies zoals _fbp en _fbc worden standaard ingeschakeld om tracking mogelijk te maken ondanks blokkering van third-party cookies.
  • Adoptie: 98,4% adoptie. Dit wordt gedreven door "Dark Patterns" (slechte defaults) in de Meta-interface die het uitschakelen complex maken.
• Automatische Geavanceerde Matching (AAM): Hierbij worden hash-versies van persoonsgegevens (e-mail, telefoon, naam, geboortedatum) automatisch uit formulieren gehaald.
  • Adoptie: Hoewel niet standaard aan, wordt dit sterk aangespoord door Meta. Adoptie op gezondheidswebsites daalde na 2022/2023, waarschijnlijk als reactie op regelgeving (FTC/HHS waarschuwingen), maar blijft op 47,8% in 2024.

3. Tracking-beperkingen (Privacy-maatregelen)

• Unwanted Data (Blacklisted/Sensitive Keys): Functie om specifieke URL-parameters of data te filteren.
  • Effectiviteit: Slechts een klein deel van de websites gebruikt dit. Op gezondheidswebsites is de adoptie van "sensitive keys" (zoals doctor, pregnant, lgbtq) toegenomen, maar vaak onvolledig.
• Core Setup: Een strenge modus die aangepaste parameters verwijdert en URL's beperkt tot het domein.
  • Adoptie: Gestegen van 2,1% naar 8,7% bij controlegroep en van 15,6% naar 34,3% bij gezondheidswebsites (2023-2024).
  • Beperkingen: Zelfs wanneer Core Setup actief is, blijkt het vaak ineffectief. Websites omzeilen de beperkingen door bijvoorbeeld de volledige URL te hashen en te sturen, of door meerdere pixels te gebruiken waarvan slechts één in Core Setup zit.

Significantie en Conclusie

• Standaardinstellingen Drijven Tracking: De meeste websites gebruiken de "out-of-the-box" configuraties van Meta. Adverteerders schakelen privacy-schadelijke functies (zoals eerste-partij cookies en automatische events) zelden uit omdat de defaults dit niet faciliteren en de interface "nudging" gebruikt.
• Gevoelige Informatie: Er is direct bewijs dat Meta Pixels op gezondheidswebsites gevoelige medische informatie verzamelen (bijv. zoekopdrachten naar ziektes), ondanks wetgeving zoals HIPAA.
• Onvolledige Bescherming: De door Meta geïntroduceerde "beperkingen" (zoals Core Setup) worden vaak pas na regelgevende druk ingeschakeld, zijn niet overal actief, en kunnen technisch worden omzeild.
• Implicatie: Regelgevers en onderzoekers moeten niet alleen kijken naar de aanwezigheid van pixels, maar naar hun configuratie. De huidige mechanismen voor privacybescherming op platformniveau zijn ontoereikend zonder actieve, technische ingreep door de website-eigenaren, wat zelden gebeurt.

Dit paper onderstreept dat technische reverse-engineering noodzakelijk is om de werkelijke impact van tracking op de privacy van gebruikers, met name in gevoelige sectoren zoals de gezondheidszorg, te begrijpen.