Onderzoek: Google gebruikt reCAPTCHA voor gratis arbeid en tracking
Googles reCAPTCHAv2-oplossing, waar talloze websites gebruik van maken, wordt door het techbedrijf gebruikt om mensen op grote schaal gratis te laten werken en hen te tracken. Dat stellen onderzoekers van de University of California, Irvine op basis van eigen onderzoek (pdf). Captcha staat voor 'Completely Automated Public Turing test to tell Computers and Humans Apart' en wordt vooral gebruikt om te voorkomen dat bots op grote schaal geautomatiseerd accounts kunnen aanmaken. Dit wordt vaak gedaan door een captcha-puzzel op te lossen.
Captchadienst reCAPTCHA werd eind 2009 door Google overgenomen. De eerste versie bestond uit het overtikken van woorden uit oude boeken om zo het verschil tussen mensen en bot aan te tonen. In 2014 verscheen versie twee van reCAPTCHA, die het lastiger voor bots moest maken om de puzzels op te lossen. Deze versie voert een gedragsanalyse uit en laat gebruikers een checkbox aanklikken dat ze geen bot zijn. Daarbij kan er op een grafische puzzel worden teruggevallen.
Inmiddels is versie drie verschenen, maar versie twee wordt nog altijd op bijna drie miljoen websites gebruikt. Volgens de onderzoekers doet Google voorkomen alsof reCAPTCHA een beveiligingsdienst is, maar in werkelijkheid wordt het gebruikt om mensen te volgen en hen gratis te laten werken. Er zijn minstens 512 miljard reCAPTCHAv2-sessies geweest. Bij elkaar duurde het 819 miljoen uur om die op te lossen, wat overeenkomt met minimaal 6,1 miljard dollar aan gratis arbeid dat Google via de dienst verdiende, zo staat in het onderzoek.
Een ander belangrijk bijproduct van reCAPTCHAv2 zijn de trackingcookies die de dienst plaatst en volgens de onderzoekers een belangrijke rol spelen bij gerichte advertenties. Volgens de onderzoekers is het werkelijke doel van reCAPTCHA een gratis 'image-labeling labor and tracking cookie farm' voor zowel advertentie- als data-inkomsten, die zich voordoet als beveiligingsdienst.
Het was toch iedereen wel opgevallen dat die captcha's de ontwikkelingen volgden, of dacht men dat het toeval was dat er opeens alleen maar vragen kwamen om auto's, bussen, verkeersborden en zebrapaden te selecteren?
Daarbij wordt dit uitgevoerd vanaf google.com, en leest het dus je hoofdcookie uit. Dat betekent dat als je die niet hebt (ik weiger cookies van google), je sowieso als bot wordt bestempeld. En dat betekent ook dat Google een rechtstreekse koppeling maakt tussen met het account en tracking. Er is zo per definitie geen privacy.
Het dringt toch niet door bij de FREEMIUM uitgebuite eindgebruikers.
Daarom kan het al zo lang op dergelijke schaal doorgaan.
Google's reCAPTCHA v2: A Trojan Horse for Data Harvesting and Labor Exploitation?
De snelheid waarmee en de wijze waarop de reeksen van puzzels worden opgelost zijn kenmerkend voor de gebruiker.
Als je privacy wil, niet getracked wil worden, moet je alles van Google vermijden of blokkeren. Of zowat alles van "big tech". Dat is voor de gewone internetsurfer niet te doen.
Natuurlijk moet voor het tracken wel eerst toestemming gevraagd worden, want dat tracken is niet nodig voor het functioneren van de site. Uiteraard wordt daar eerst om gevraagd... kuch...
Wanneer je een bedrijf vraagt om deze data te laten verwijderen, krijg je geen reactie.
Heb tegenwoordig ||google.com toegevoegd aan de filters in uBO. Dit om mij te herinneren wanneer een site reCAPTCHA gebruikt, standaard reactie is dan alt + f4.
Interessant! Heb je daar meer info over?
Interessant! Heb je daar meer info over?
https://krebsonsecurity.com/2014/10/silk-road-lawyers-poke-holes-in-fbis-story/
Interessant! Heb je daar meer info over?
https://krebsonsecurity.com/2014/10/silk-road-lawyers-poke-holes-in-fbis-story/
-van google tagmanager tot gstatic,
-van google fonts tot identity toolkit googleapis.
-van google tag services tot ajax.googleapis
-en weet ik welke ik nog meer ben vergeten
Vanwege al die geleverde services is het -mede vanwege stadaard instellingen- dat mijn ip-adres via de bekeken website bij google -kan- belanden en daarmee nog beter de persoon achter dit ip-adres kan profileren.
Of wordt de AP met intentie onder-gebudgeteerd met het huidige overheidsbeleid en de AP hierdoor geen tijd/personeel heeft om zo'n grootschalig onderzoek te kunnen beginnen? Heeft de overheid een deal met google om 'relevante' informatie te delen, waardoor google maar simpelweg door kan gaan met tracken en profileren van personen die onwetend zijn dat ze getracked en geprofileerd worden om vervolgens gebombardeerd te worden met gepersonalisserde advertenties?
(Moeten we het woord koekeloeren voortaan maar gaan schrijven als googleöeren!? https://synoniemen.net/grafisch.php?zoekterm=koekeloeren)
Het is zelfs erger. Dit bedrijf, nu Alphabet geheten en ook Meta, werden opgericht met subsidie
van de Amerikaanse overheid juist om voor hen overal te kunnen googleöeren, zoals jij dat aanduidt.
Groot-commercie en overheden leven dus, zoals men dat in het Amerikaans-Engels placht te zeggen,
"hand in foot" met Big Tech.
Het zijn allemaal handen op ene buik en dat er vooralsnog iets aan gedaan gaat worden,
zal een illusie blijken.
Ontkoppelen van Big Brother zul je zelf moeten doen (voor zover je dat lukt).
Geen fijne boodschap, maar zo zijn de zaken nu eenmaal komen te liggen.
Helaas pindakaas,
#laufer
Interessant! Heb je daar meer info over?
https://krebsonsecurity.com/2014/10/silk-road-lawyers-poke-holes-in-fbis-story/
Dat is berichtgeving van Krebs van tien jaar geleden. Sindsdien gebruiken de beheerders van de meer geavanceerde Tor onion sites, zoals het Dread forum (een soort ondergrondse 'Reddit' versie), tijdgebonden recaptcha's zonder JavaScripts te gebruiken. Dergelijke recaptcha's maken geen verbinding met het clearnet. Dread werkt met HTML5 geheel in de veiligste modus van de Tor Browser, dus geheel zonder JavaScripts. Het v2 onion protocol is ook allang afschaft, ten voordele van het sterk verbeterde v3 onion protocol. Met andere woorden, truc die de FBI in het verleden toepaste om de geografische locatie van een onion server te bepalen valt allang niet meer door de opsporingsdiensten te gebruiken.
Gezien de reputatie van TransIP kan je daar misschien ook niet beter verwachten, maar een toko als yubico zou toch beter moeten weten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!