Um grupo de pesquisadores da UC Irvine escreveu um artigo que sugere que o serviço reCAPTCHA do Google não é uma solução de segurança eficaz.

Ele também diz que esses testes têm um custo enorme – tanto em termos de trabalho humano quanto de impacto ambiental. Além disso, também pode ser usado para minerar dados de usuários.

O Google respondeu a essas alegações e disse que não vende dados de usuários a terceiros e que o reCAPTCHA3, usado principalmente por sites, é mais seguro que o reCAPTCHA2.

O serviço reCAPTCHA do Google pode estar coletando secretamente informações de usuários. Sob custo de trabalho humano, a estimativa é que a coleta de dados valha de bilhões.

Todos nós já usamos o serviço reCAPTCHA. Ele nos apresenta um pequeno quebra-cabeça para resolver e usa nossa resposta para diferenciar entre humanos e robôs. O propósito desses testes é prevenir fraudes e crimes cibernéticos.

No entanto, pesquisadores da UC Irvine têm uma história diferente para contar. Andrew Searles, Renascence Tarafder Prapty e Gene Tsudik se uniram para escrever um artigo intitulado “Dazed & Confused: A Large-Scale Real-World User Study of reCAPTCHAv2.”

A pesquisa foi conduzida ao longo de um período de 13 meses, começando a partir de 2022. Desse modo, um total de 9.141 sessões do reCAPTCHAv2 foram rastreadas e analisadas, além de uma pesquisa concluída por 108 indivíduos.

Os entrevistados da pesquisa classificaram o quebra-cabeça de caixa de seleção com 78,51 de 100 na “Escala de Usabilidade do Sistema”, enquanto o teste de seleção de imagem só conseguiu pontuar 58,90. Em termos simples, os usuários acham esses testes inconvenientes.

Qual é a conclusão do artigo?

O artigo argumenta que esses testes devem ser descontinuados porque são uma perda de tempo e recursos. Além disso, são vulneráveis ​​a bots (o que anula completamente seu propósito).

Durante os 13 anos de uso, os usuários gastaram mais de 819 milhões de horas fazendo esses testes, o que equivale a pelo menos US$ 6,1 bilhões em salários.

Esse não é o único custo do teste. O tráfego resultante do reCAPTCHA ocupa 134 petabytes de largura de banda, o que equivale a 7,5 milhões de kWhs de energia, o que por sua vez corresponde a 7,5 milhões de libras de CO2.

Enquanto o mundo arcava com esses custos, o Google continuou lucrando. Aproximadamente US$ 888 bilhões dos cookies criados pelas sessões do reCAPTCHA e um adicional de US$ 8,75–32,3 bilhões/venda de seu conjunto total de dados rotulados.

Talvez pudéssemos encontrar uma maneira de fechar os olhos para tudo isso se apenas os testes servissem ao seu propósito. Mas não parece ser o caso.

Em suma, o teste não é tão seguro quanto parece:

O artigo se refere a um experimento de 2016, durante o qual um grupo de pesquisadores conseguiu vencer os desafios de imagem do reCAPTCHA v2 70% das vezes.

O desafio da caixa de seleção do reCAPTCHA era ainda mais vulnerável: ele podia ser derrotado 100% das vezes.

O reCAPTCHA v3, que é a versão mais recente, não é melhor. Em 2019, outro grupo de pesquisadores projetou um ataque de aprendizado por reforço que pode quebrar os desafios baseados em comportamento do reCAPTCHAv3 97% das vezes.

A pior parte é que esses sistemas foram derrotados antes de serem introduzidos publicamente, mas ainda são usados ​​pelo Google. Veja os problemas de seleção de imagens, por exemplo. Eles foram derrotados por computadores em 2009, mas usados ​​pelo Google em 2014.

Então, no final das contas, parece que todo o esforço e recursos investidos nesses testes são inúteis.

O que confunde os pesquisadores é que, se há provas de que esses testes não são eficazes, então por que o Google continua a usá-los? Só há uma resposta possível para isso: obter dados de rotulagem de imagens, que são os resultados de usuários identificando imagens CAPTCHA que o Google vende como um serviço de nuvem.

O Google divulgou uma declaração respondendo a essas alegações e disse que apenas rastreia dados do usuário para melhorar a qualidade geral da experiência do usuário, não para vendê-los. Além disso, a maioria dos sites mudou para o reCAPTCHA3, que é mais seguro do que o reCAPTCHA2.