esperimento https://amazon.tracking.exposed - verificare se le DSAR sono complete
Buongiorno Nexa, Sono stato invitato un paio di mesi fa, a partecipare ad una trasmissione (Petrolio, Rai2, episodio del 6 Dicembre) su Amazon. Quindi, abbiamo modificato la tecnologia alla base di facebook.tracking.exposed e di youtube.tracking.exposed per analizzare l'algoritmo di Amazon. Questo report abbastanza breve spiega la nostra investigazione: https://github.com/tracking-exposed/presentation/blob/master/amazon.tracking... Studiando i risultati personalizzati, abbiamo giocato con le funzioni di amazon per verificare quali variabili influissero nella macchina di profilazione, e secondo noi, alcuni dati che dovrebbero essere sotto il nostro controllo (perché personali) sono usati nella profilazione, senza che ci siano comunicato. se avete riflessioni in merito, mi piacerebbe parlarne con voi. * p.s. dal subject, DSAR, sta per Data Subject Access Request Cordialmente, Claudio
Grazie, leggo con vivo interesse. C'è nulla su come un algoritmo assegna eventuali servizi di consegna attraverso una piattaforma crowdsourced? Grazie Il sab 7 dic 2019, 10:39 Claudio Agosti <claudio.agosti@hermescenter.org> ha scritto:
Buongiorno Nexa,
Sono stato invitato un paio di mesi fa, a partecipare ad una trasmissione (Petrolio, Rai2, episodio del 6 Dicembre) su Amazon.
Quindi, abbiamo modificato la tecnologia alla base di facebook.tracking.exposed e di youtube.tracking.exposed per analizzare l'algoritmo di Amazon.
Questo report abbastanza breve spiega la nostra investigazione:
https://github.com/tracking-exposed/presentation/blob/master/amazon.tracking...
Studiando i risultati personalizzati, abbiamo giocato con le funzioni di amazon per verificare quali variabili influissero nella macchina di profilazione, e secondo noi, alcuni dati che dovrebbero essere sotto il nostro controllo (perché personali) sono usati nella profilazione, senza che ci siano comunicato.
se avete riflessioni in merito, mi piacerebbe parlarne con voi.
* p.s. dal subject, DSAR, sta per Data Subject Access Request
Cordialmente, Claudio _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Buon Sabato! Ho ricevuto due diverse note che mi dicono il .pdf aver problemi, ma non è il .pdf, è che uso github (un portale nato per tenere codice) come storage dei documenti che rilasciamo. Quindi ci sono tre passaggi possibili per trovare il materiale: 1) andare sul repository https://github.com/tracking-exposed/presentation qui collezioniamo quasi tutte le presentazioni, articoli, e file binari del progetto, è sabato, fa freddo, se non avete nulla da fare, magari troverete qualcosa di interessante :) 2) clickando su un pdf si apre una pagina normalmente pensata per mostrare del codice (è il link che ho condiviso, può non caricare grossi .pdf nella preview) 3) da questa pagina c'è il tasto 'download' che restituise content-type pdf, garantito: https://github.com/tracking-exposed/presentation/raw/master/amazon.tracking.... un altro problema noto è che alcuni lettori di .pdf nel browser non permettono di cliccare i link (è un limite client side) l'episodio è già su raiplay, https://www.raiplay.it/video/2019/11/petrolio-il-mondo-segreto-di-amazon-aa6... potete skippare le prime ... emh ... due ore e venti ... alla faccia della prima serata :) On Sat, Dec 7, 2019 at 1:32 AM Claudio Agosti < claudio.agosti@hermescenter.org> wrote:
Buongiorno Nexa,
Sono stato invitato un paio di mesi fa, a partecipare ad una trasmissione (Petrolio, Rai2, episodio del 6 Dicembre) su Amazon.
Quindi, abbiamo modificato la tecnologia alla base di facebook.tracking.exposed e di youtube.tracking.exposed per analizzare l'algoritmo di Amazon.
Questo report abbastanza breve spiega la nostra investigazione:
https://github.com/tracking-exposed/presentation/blob/master/amazon.tracking...
Studiando i risultati personalizzati, abbiamo giocato con le funzioni di amazon per verificare quali variabili influissero nella macchina di profilazione, e secondo noi, alcuni dati che dovrebbero essere sotto il nostro controllo (perché personali) sono usati nella profilazione, senza che ci siano comunicato.
se avete riflessioni in merito, mi piacerebbe parlarne con voi.
* p.s. dal subject, DSAR, sta per Data Subject Access Request
Cordialmente, Claudio
Molto interessante, complimenti per il lavoro. Dimostra che il clickstream fa parte dei dati grezzi usati per la profilazione e che quindi andrebbe condiviso con l'utente. Questo lavoro di verifica sarebbe molto facilitato se fosse attivo il servizio automatico di portabilità dei dati secondo l'art 20(1)b GDPR. L'anno scorso ho chiesto a Amazon di attivarlo, ma la risposta è stata questa: La informiamo, inoltre, che su Amazon.it non è attivo un servizio di download automatico dei dati, ma che potremo dare seguito alla Sua richiesta, presentata in data 26 settembre 2018, come previsto dalla normativa vigente. Provvederemo quindi a fornirLe i suoi dati personali in formato strutturato, di uso comune e leggibile da dispositivo automatico, nei termini di legge. Se io volessi portare i miei dati di acquisto su una piattaforma diversa da Amazon (per godere dei benefici di una proflazione interoperabile), non avrei altre alternative che la laboriosa procedura DSAR da voi descritta. Inoltre, avendo io richiesto i dati per tutti i domini Amazon (incluso Abebooks), la risposta ottenuta è stata la seguente: La informiamo infine che Amazon.it, Amazon.ca, Amazon.com, Amazon.com.mx, Amazon.com.au, Amazon.com.br, Amazon.in, Amazon.co.uk, Amazon.fr, Amazon.es, Amazon.de e Amazon.nl sono siti indipendenti e gestiscono gli ordini in maniera autonoma. Ciò significa che non possiamo accedere alle informazioni relative a siti Amazon diversi da Amazon.it. Se desidera accedere ai suoi dati personali presenti su un sito Amazon diverso da Amazon.it, dovrà quindi contattare il Servizio Clienti del sito Amazon in questione. Le indichiamo qui di seguito i relativi link: eccetera... Sarebbe interessante verificare se effettivamente i dati dei diversi account non sono condivisi centralmente. Se noi utenti fossimo reticenti quanto loro nel fornire i dati personali avrebbero già chiuso. "Be the friction" dice la Zuboff... Quanto tempo ci hanno messo per fornire i dati? ciao, Alberto On 07/12/2019 01:32, Claudio Agosti wrote:
Buongiorno Nexa,
Sono stato invitato un paio di mesi fa, a partecipare ad una trasmissione (Petrolio, Rai2, episodio del 6 Dicembre) su Amazon.
Quindi, abbiamo modificato la tecnologia alla base di facebook.tracking.exposed e di youtube.tracking.exposed per analizzare l'algoritmo di Amazon.
Questo report abbastanza breve spiega la nostra investigazione: https://github.com/tracking-exposed/presentation/blob/master/amazon.tracking...
Studiando i risultati personalizzati, abbiamo giocato con le funzioni di amazon per verificare quali variabili influissero nella macchina di profilazione, e secondo noi, alcuni dati che dovrebbero essere sotto il nostro controllo (perché personali) sono usati nella profilazione, senza che ci siano comunicato.
se avete riflessioni in merito, mi piacerebbe parlarne con voi.
* p.s. dal subject, DSAR, sta per Data Subject Access Request
Cordialmente, Claudio
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Caro Alberto, non credo che i dati siano condivisi, almeno per quanto riguarda la profilazione, poiché, avendo vissuto in UK e vivendo ora in USA ho dovuto creare ex novo i miei account, tutti con lo stesso indirizzo email di quello italiano. Almeno questa è stata la mia esperienza utente. Se ci fosse qualcuno che lavora per Amazon in lista sarebbe interessante parlarne creando un nuovo thread. A presto, Elia
On 7 Dec 2019, at 09:40, Alberto Cammozzo <ac+nexa@zeromx.net> wrote:
Molto interessante, complimenti per il lavoro.
Dimostra che il clickstream fa parte dei dati grezzi usati per la profilazione e che quindi andrebbe condiviso con l'utente. Questo lavoro di verifica sarebbe molto facilitato se fosse attivo il servizio automatico di portabilità dei dati secondo l'art 20(1)b GDPR.
L'anno scorso ho chiesto a Amazon di attivarlo, ma la risposta è stata questa:
La informiamo, inoltre, che su Amazon.it non è attivo un servizio di download automatico dei dati, ma che potremo dare seguito alla Sua richiesta, presentata in data 26 settembre 2018, come previsto dalla normativa vigente. Provvederemo quindi a fornirLe i suoi dati personali in formato strutturato, di uso comune e leggibile da dispositivo automatico, nei termini di legge.
Se io volessi portare i miei dati di acquisto su una piattaforma diversa da Amazon (per godere dei benefici di una proflazione interoperabile), non avrei altre alternative che la laboriosa procedura DSAR da voi descritta.
Inoltre, avendo io richiesto i dati per tutti i domini Amazon (incluso Abebooks), la risposta ottenuta è stata la seguente:
La informiamo infine che Amazon.it, Amazon.ca, Amazon.com, Amazon.com.mx, Amazon.com.au, Amazon.com.br, Amazon.in, Amazon.co.uk, Amazon.fr, Amazon.es, Amazon.de e Amazon.nl sono siti indipendenti e gestiscono gli ordini in maniera autonoma. Ciò significa che non possiamo accedere alle informazioni relative a siti Amazon diversi da Amazon.it. Se desidera accedere ai suoi dati personali presenti su un sito Amazon diverso da Amazon.it, dovrà quindi contattare il Servizio Clienti del sito Amazon in questione. Le indichiamo qui di seguito i relativi link:
eccetera...
Sarebbe interessante verificare se effettivamente i dati dei diversi account non sono condivisi centralmente.
Se noi utenti fossimo reticenti quanto loro nel fornire i dati personali avrebbero già chiuso. "Be the friction" dice la Zuboff... Quanto tempo ci hanno messo per fornire i dati?
ciao,
Alberto
On 07/12/2019 01:32, Claudio Agosti wrote: Buongiorno Nexa,
Sono stato invitato un paio di mesi fa, a partecipare ad una trasmissione (Petrolio, Rai2, episodio del 6 Dicembre) su Amazon.
Quindi, abbiamo modificato la tecnologia alla base di facebook.tracking.exposed e di youtube.tracking.exposed per analizzare l'algoritmo di Amazon.
Questo report abbastanza breve spiega la nostra investigazione: https://github.com/tracking-exposed/presentation/blob/master/amazon.tracking...
Studiando i risultati personalizzati, abbiamo giocato con le funzioni di amazon per verificare quali variabili influissero nella macchina di profilazione, e secondo noi, alcuni dati che dovrebbero essere sotto il nostro controllo (perché personali) sono usati nella profilazione, senza che ci siano comunicato.
se avete riflessioni in merito, mi piacerebbe parlarne con voi.
* p.s. dal subject, DSAR, sta per Data Subject Access Request
Cordialmente, Claudio
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
On Sat, Dec 7, 2019 at 10:16 PM Elia Bellussi <elia.bellussi@mupin.it> wrote:
Caro Alberto,
non credo che i dati siano condivisi, almeno per quanto riguarda la profilazione, poiché, avendo vissuto in UK e vivendo ora in USA ho dovuto creare ex novo i miei account, tutti con lo stesso indirizzo email di quello italiano.
*IANAL*, Indipendentemente da dove hai vissuto, se sei un cittadino europeo, il GDPR ti tutela. e devi avere i medesimi diritti su qualunque dominio tu ti colleghi. -- Claudio Agosti, https://facebook.tracking.exposed, @_vecna PGP keybase.io/vecna - Research Associate - DATACTIVE University of Amsterdam https://data-activism.net
ciao Alberto, grazie, On Sat, Dec 7, 2019 at 6:40 PM Alberto Cammozzo <ac+nexa@zeromx.net> wrote:
Dimostra che il clickstream fa parte dei dati grezzi usati per la profilazione e che quindi andrebbe condiviso con l'utente. Questo lavoro di verifica sarebbe molto facilitato se fosse attivo il servizio automatico di portabilità dei dati secondo l'art 20(1)b GDPR.
Credo che queste analisi servano a dare ulteriore materiale ad un'autorità garante, se e solo se facciamo dei reclami circostanziati. La nostra metodologia andrebbe riprovata e prove collezionate da più persone, o da più gruppi coordinati, così da rendere il test più robusto.
La informiamo infine che Amazon.it, Amazon.ca, Amazon.com, Amazon.com.mx, Amazon.com.au, Amazon.com.br, Amazon.in, Amazon.co.uk, Amazon.fr, Amazon.es, Amazon.de e Amazon.nl sono siti indipendenti e gestiscono gli ordini in maniera autonoma.
Ecco, questo non credo sia così come lo stanno dicendo, ma non so dire "come sia davvero". Prima di scrivere quel report in italiano, ne abbiamo scritto uno in inglese (quello che nel documentario viene portato all'EDPS) ti incollo questa parte (mi scusi chi sta usando mail in solo testo, ci sono delle immagini). Nel caso che segue Giulia era cliente amazon dal 2013, ed usava il .it come riferimento. - Despite amazon.it (data controller Amazon Europe) and amazon.com should be considered as two separate entities, it allows a profile to login using the same email and password, but it is unclear which and how data are differently connected to it. In there, it display different browsing history and order register. Still, the data in amazon.com are not included in the dataset provided by amazon.it. ciao, Claudio -- Claudio Agosti, https://facebook.tracking.exposed, @_vecna PGP keybase.io/vecna - Research Associate - DATACTIVE University of Amsterdam https://data-activism.net
*** molto interessante, grazie per la condivisione. Scrivi all’inizio (p.2 in alto) <<Non reputiamo Amazon direttamente responsabile di questa pratica, casomai lo è il venditore>>. In che senso? nel senso che il venditore si avvale di opzioni di differenziazione prezzo in base a parametri offerti/predisposti/proposti ma modificabili dal software di A.? E i prodotti offerti in proprio da A.? Fanno differenziazioni prezzo? immagino di si … Con gli stessi criteri? Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Claudio Agosti Inviato: sabato 7 dicembre 2019 01:32 A: nexa <nexa@server-nexa.polito.it> Oggetto: [nexa] esperimento https://amazon.tracking.exposed - verificare se le DSAR sono complete Buongiorno Nexa, Sono stato invitato un paio di mesi fa, a partecipare ad una trasmissione (Petrolio, Rai2, episodio del 6 Dicembre) su Amazon. Quindi, abbiamo modificato la tecnologia alla base di facebook.tracking.exposed e di youtube.tracking.exposed per analizzare l'algoritmo di Amazon. Questo report abbastanza breve spiega la nostra investigazione: https://github.com/tracking-exposed/presentation/blob/master/amazon.tracking... Studiando i risultati personalizzati, abbiamo giocato con le funzioni di amazon per verificare quali variabili influissero nella macchina di profilazione, e secondo noi, alcuni dati che dovrebbero essere sotto il nostro controllo (perché personali) sono usati nella profilazione, senza che ci siano comunicato. se avete riflessioni in merito, mi piacerebbe parlarne con voi. * p.s. dal subject, DSAR, sta per Data Subject Access Request Cordialmente, Claudio <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_camp...> Mail priva di virus. <http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_camp...> www.avg.com
On Sat, Dec 7, 2019 at 7:03 PM lorenzo albertini < lorenzoalbertini.vr@gmail.com> wrote:
*** molto interessante, grazie per la condivisione.
Scrivi all’inizio (p.2 in alto) <<*Non reputiamo Amazon direttamente responsabile di questa pratica, casomai lo è il venditore*>>.
In che senso? nel senso che il venditore si avvale di opzioni di differenziazione prezzo in base a parametri offerti/predisposti/proposti ma modificabili dal software di A.?
Il fatto, è che siamo incappati in una scoperta che non pensavamo di fare, e non avevamo tempo per analizzare a pieno. e dichiarare "Amazon ci personalizza i prezzi", quando si sà che: - l'aspettativa del lettore non esperto è che la personalizzazione sia uno sfruttamento delle demografiche, che già nel 2000 era stato affrontato e riconosciuto come un problema da Bezos: https://en.wikipedia.org/wiki/Criticism_of_Amazon#Differential_pricing - il Dynamic Pricing è una feature nota, usata dai venditori e abilitata da Amazon: https://digiday.com/retail/amazon-retailers-experimenting-dynamic-pricing/ - Escludiamo che i venditori possano conoscere alcunchè dell'utente che cerca i suoi prodotti, al massimo si tratterà di dati aggregati, dovremmo investigare quanto e cosa contengono le API di dynamic pricing E oltre a questi tre punti non sapevamo, abbiamo rilegato quel ritrovamento ad un "ci sarebbe da investigare di più, comunque non vogliamo dire che è l'algoritmo di amazon, oggetto dell'analisi, a cambiarti i prezzi, perchè sarebbe inaccurato".
E i prodotti offerti in proprio da A.? Fanno differenziazioni prezzo? immagino di si … Con gli stessi criteri?
Non lo sappiamo, ma il tool è utilizzabile per fare queste analisi, qualora qualcuno volesse farle.
participants (6)
-
Alberto Cammozzo -
Claudio Agosti -
Claudio Agosti -
Elia Bellussi -
lorenzo albertini -
Luigi Scorca