image

Onderzoek: Google gebruikt reCAPTCHA voor gratis arbeid en tracking

woensdag 24 juli 2024, 11:23 door Redactie, 18 reacties

Googles reCAPTCHAv2-oplossing, waar talloze websites gebruik van maken, wordt door het techbedrijf gebruikt om mensen op grote schaal gratis te laten werken en hen te tracken. Dat stellen onderzoekers van de University of California, Irvine op basis van eigen onderzoek (pdf). Captcha staat voor 'Completely Automated Public Turing test to tell Computers and Humans Apart' en wordt vooral gebruikt om te voorkomen dat bots op grote schaal geautomatiseerd accounts kunnen aanmaken. Dit wordt vaak gedaan door een captcha-puzzel op te lossen.

Captchadienst reCAPTCHA werd eind 2009 door Google overgenomen. De eerste versie bestond uit het overtikken van woorden uit oude boeken om zo het verschil tussen mensen en bot aan te tonen. In 2014 verscheen versie twee van reCAPTCHA, die het lastiger voor bots moest maken om de puzzels op te lossen. Deze versie voert een gedragsanalyse uit en laat gebruikers een checkbox aanklikken dat ze geen bot zijn. Daarbij kan er op een grafische puzzel worden teruggevallen.

Inmiddels is versie drie verschenen, maar versie twee wordt nog altijd op bijna drie miljoen websites gebruikt. Volgens de onderzoekers doet Google voorkomen alsof reCAPTCHA een beveiligingsdienst is, maar in werkelijkheid wordt het gebruikt om mensen te volgen en hen gratis te laten werken. Er zijn minstens 512 miljard reCAPTCHAv2-sessies geweest. Bij elkaar duurde het 819 miljoen uur om die op te lossen, wat overeenkomt met minimaal 6,1 miljard dollar aan gratis arbeid dat Google via de dienst verdiende, zo staat in het onderzoek.

Een ander belangrijk bijproduct van reCAPTCHAv2 zijn de trackingcookies die de dienst plaatst en volgens de onderzoekers een belangrijke rol spelen bij gerichte advertenties. Volgens de onderzoekers is het werkelijke doel van reCAPTCHA een gratis 'image-labeling labor and tracking cookie farm' voor zowel advertentie- als data-inkomsten, die zich voordoet als beveiligingsdienst.

Reacties (18)
24-07-2024, 11:33 door Anoniem
Ik ben en blijf er zeer verbaasd over dat ondanks alles wat bekend is over Google men al deze gratis rommel blijft gebruiken, blijkbaar wil iedereen gewoon belazerd worden en vindt dat niet erg omdat het gratis is.
24-07-2024, 11:49 door Reinder
Dit was toch al lang bekend? Ik twijfel niet aan de resultaten maar ik krijg bij dit onderzoek hetzelfde gevoel als ik kreeg toen ik de resultaten hoorde van het onderzoek naar de vraag of varkens de voorkeur geven aan a) een stalen rooster, b) een kale betonnen vloer, of c) hooi om op te slapen.
Het was toch iedereen wel opgevallen dat die captcha's de ontwikkelingen volgden, of dacht men dat het toeval was dat er opeens alleen maar vragen kwamen om auto's, bussen, verkeersborden en zebrapaden te selecteren?
24-07-2024, 11:50 door Anoniem
Naast de tracking, gratis werkuren en verplichte karakter, zijn die puzzles ook nog eens niet oplosbaar. Zo vragen ze naar motorcycles. Maar is dat inclusief schaduw, inclusief de berijder? En verkeerslichten (traffic lights), is dat inclusief de palen, de backplate en die lichten daar in de verte? Zo kan ik nog wel even doorgaan. De consequentie is dat je zo 10 minuten kwijt bent en soms langer om puzzles in de vullen. Soms werkt het helemaal niet.

Daarbij wordt dit uitgevoerd vanaf google.com, en leest het dus je hoofdcookie uit. Dat betekent dat als je die niet hebt (ik weiger cookies van google), je sowieso als bot wordt bestempeld. En dat betekent ook dat Google een rechtstreekse koppeling maakt tussen met het account en tracking. Er is zo per definitie geen privacy.
24-07-2024, 12:09 door Anoniem
Zolang Google data oplevert voor de zogenaamde "14 eyes" verandert er echt niets.

Het dringt toch niet door bij de FREEMIUM uitgebuite eindgebruikers.

Daarom kan het al zo lang op dergelijke schaal doorgaan.

Google's reCAPTCHA v2: A Trojan Horse for Data Harvesting and Labor Exploitation?
24-07-2024, 12:23 door Anoniem
Door Anoniem: Zo vragen ze naar motorcycles. Maar is dat inclusief schaduw, inclusief de berijder?

De snelheid waarmee en de wijze waarop de reeksen van puzzels worden opgelost zijn kenmerkend voor de gebruiker.
24-07-2024, 12:59 door Anoniem
Ik dacht dat dat (bijna) algemeen bekend was dat die captcha's er ook zijn om het bedrijf erachter (Google hier) te helpen met identificatie van plaatjes.
Als je privacy wil, niet getracked wil worden, moet je alles van Google vermijden of blokkeren. Of zowat alles van "big tech". Dat is voor de gewone internetsurfer niet te doen.
Natuurlijk moet voor het tracken wel eerst toestemming gevraagd worden, want dat tracken is niet nodig voor het functioneren van de site. Uiteraard wordt daar eerst om gevraagd... kuch...
24-07-2024, 13:41 door Anoniem
Het is nog veel erger. Ook bij een formulier wordt voor het versturen een screenshot gemaakt en naar Google verzonden. Jouw persoonsgegevens kunnen hiermee dus in handen van Google vallen.
Wanneer je een bedrijf vraagt om deze data te laten verwijderen, krijg je geen reactie.

Heb tegenwoordig ||google.com toegevoegd aan de filters in uBO. Dit om mij te herinneren wanneer een site reCAPTCHA gebruikt, standaard reactie is dan alt + f4.
24-07-2024, 13:43 door Anoniem
Google, en de bedrijven en overheid die deze klantonvriendelijke "tool" gebruiken, overtreden dus keihard de wet. Zal de AP dan nu eindelijk eens gaan ingrijpen?
24-07-2024, 15:16 door Anoniem
Captcha's deanonimiseren TOR-gebruikers.
24-07-2024, 16:00 door musiman
Door Anoniem: Captcha's deanonimiseren TOR-gebruikers.

Interessant! Heb je daar meer info over?
24-07-2024, 16:41 door Anoniem
Door musiman:
Door Anoniem: Captcha's deanonimiseren TOR-gebruikers.

Interessant! Heb je daar meer info over?
https://krebsonsecurity.com/2014/09/dread-pirate-sunk-by-leaky-captcha/
https://krebsonsecurity.com/2014/10/silk-road-lawyers-poke-holes-in-fbis-story/
24-07-2024, 18:11 door Anoniem
Door Anoniem:
Door musiman:
Door Anoniem: Captcha's deanonimiseren TOR-gebruikers.

Interessant! Heb je daar meer info over?
https://krebsonsecurity.com/2014/09/dread-pirate-sunk-by-leaky-captcha/
https://krebsonsecurity.com/2014/10/silk-road-lawyers-poke-holes-in-fbis-story/
En ook omdat men de veiligheid lager zet om de captchas op te kunnen lossen... (Javascript)
25-07-2024, 08:51 door Anoniem
Wordt het niet eens tijd dat de AP grondig onderzoek gaat doen naar 'allle' scripts die google aanbiedt voor websites:
-van google tagmanager tot gstatic,
-van google fonts tot identity toolkit googleapis.
-van google tag services tot ajax.googleapis
-en weet ik welke ik nog meer ben vergeten

Vanwege al die geleverde services is het -mede vanwege stadaard instellingen- dat mijn ip-adres via de bekeken website bij google -kan- belanden en daarmee nog beter de persoon achter dit ip-adres kan profileren.

Of wordt de AP met intentie onder-gebudgeteerd met het huidige overheidsbeleid en de AP hierdoor geen tijd/personeel heeft om zo'n grootschalig onderzoek te kunnen beginnen? Heeft de overheid een deal met google om 'relevante' informatie te delen, waardoor google maar simpelweg door kan gaan met tracken en profileren van personen die onwetend zijn dat ze getracked en geprofileerd worden om vervolgens gebombardeerd te worden met gepersonalisserde advertenties?
(Moeten we het woord koekeloeren voortaan maar gaan schrijven als googleöeren!? https://synoniemen.net/grafisch.php?zoekterm=koekeloeren)
25-07-2024, 10:18 door Anoniem
@ anoniem van 8:51,

Het is zelfs erger. Dit bedrijf, nu Alphabet geheten en ook Meta, werden opgericht met subsidie
van de Amerikaanse overheid juist om voor hen overal te kunnen googleöeren, zoals jij dat aanduidt.

Groot-commercie en overheden leven dus, zoals men dat in het Amerikaans-Engels placht te zeggen,
"hand in foot" met Big Tech.

Het zijn allemaal handen op ene buik en dat er vooralsnog iets aan gedaan gaat worden,
zal een illusie blijken.

Ontkoppelen van Big Brother zul je zelf moeten doen (voor zover je dat lukt).
Geen fijne boodschap, maar zo zijn de zaken nu eenmaal komen te liggen.
Helaas pindakaas,

#laufer
25-07-2024, 14:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door musiman:
Door Anoniem: Captcha's deanonimiseren TOR-gebruikers.

Interessant! Heb je daar meer info over?
https://krebsonsecurity.com/2014/09/dread-pirate-sunk-by-leaky-captcha/
https://krebsonsecurity.com/2014/10/silk-road-lawyers-poke-holes-in-fbis-story/
En ook omdat men de veiligheid lager zet om de captchas op te kunnen lossen... (Javascript)

Dat is berichtgeving van Krebs van tien jaar geleden. Sindsdien gebruiken de beheerders van de meer geavanceerde Tor onion sites, zoals het Dread forum (een soort ondergrondse 'Reddit' versie), tijdgebonden recaptcha's zonder JavaScripts te gebruiken. Dergelijke recaptcha's maken geen verbinding met het clearnet. Dread werkt met HTML5 geheel in de veiligste modus van de Tor Browser, dus geheel zonder JavaScripts. Het v2 onion protocol is ook allang afschaft, ten voordele van het sterk verbeterde v3 onion protocol. Met andere woorden, truc die de FBI in het verleden toepaste om de geografische locatie van een onion server te bepalen valt allang niet meer door de opsporingsdiensten te gebruiken.
25-07-2024, 15:02 door Anoniem
Ik snap ook helemaal niet waarom je als websitebeheerder Recaptcha zou gebruiken. Er zijn zat libraries die captcha kunnen doen geheel op je eigen server. Waarom externe afhankelijkheden inbouwen met allerlei privacynadelen? En wat te denken van storingen? Security.nl doet het bijvoorbeeld ook gewoon netjes zelf. Wordt tijd dat de Autoriteit persoonsgegevens eens gaat handhaven. Gewoon een botje schrijven die al die recaptchas opspoort, koppeling met WHOIS maken en al volautomatisch naar alle overtreders een boete sturen. Hoeft allemaal niet ingewikkeld te zijn.
25-07-2024, 19:19 door Anoniem
Het gebruik van reCaptcha blijft mij verbazen. Zo kan je bij TransIP niet eens inloggen zonder langs een reCaptcha te gaan (voor mij reden om er hard weg te rennen), en kan je bij yubuco (van de yubikeys) geen support krijgen zonder langs een reCaptcha te gaan.
Gezien de reputatie van TransIP kan je daar misschien ook niet beter verwachten, maar een toko als yubico zou toch beter moeten weten.
26-07-2024, 17:40 door Anoniem
Begrijp ik dat er daadwerkelijk 6.1 miljard dollar aan kapitaal is toegevoegd omdat mensen wereldwijd een captcha oplossen?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.