O Google afirma que "reCAPTCHA" não abuse dos dados do usuário. Vale a pena acreditar?

Usar uma maneira inovadora de distinguir entre pessoas e bots na Internet coloca vários problemas sérios

Surpreendentemente, é preciso muito esforço para garantir que os sites garantam que o usuário não seja um robô. Por esse motivo, ao entrar nos sites, muitas vezes você pode ver perguntas do sistema CAPTCHA: fotos borradas de passagens para pedestres, semáforos e fachadas de lojas que são propostas para serem identificadas com apenas alguns cliques do botão do mouse.

Existem vários tipos de tarefas: desde cartas vagas que precisam ser reconhecidas e inseridas em campo, até slogans de empresas como "Comfort Plus" no site da Delta - como se o estado deplorável do transporte aéreo moderno ainda não fosse suficientemente antipático. O mais comum, no entanto, é o serviço reCAPTCHA do Google, cuja terceira versão foi lançada no final de 2018 . Sua tarefa é reduzir significativamente o número de ações necessárias ao usuário ao entrar no site, o que é alcançado atribuindo classificações não exibidas a usuários, dependendo de quão "humano" é seu comportamento. No final, a tarefa inicial do CAPTCHA era eliminar contas de bots que preenchem sites com propósitos menos que honestos.

Mas o sistema inovador desenvolvido pelos especialistas do Google tem uma desvantagem: a nova versão acompanha todos os movimentos do usuário no site, por isso determina se ele realmente é uma pessoa.

Traduzido para Alconost


Fonte: Alexey Bezrodny / iStock / Getty Images Plus

Melhoria necessária?

Antes de entendermos como esse novo produto funciona, é útil descobrir de onde ele veio. O novo reCAPTCHA substituiu a tecnologia da Web relativamente antiga, usada não apenas para proteger sites.

A ferramenta CAPTCHA - que significa "um teste público de Turing totalmente automatizado para distinguir entre computadores e pessoas" - apareceu pela primeira vez no final dos anos 90: foi desenvolvida por uma equipe de um dos primeiros mecanismos de busca - o AltaVista . Antes disso, era muito fácil escrever um bot que se registrava automaticamente no serviço e enviava comentários de spam em milhares. A solução AltaVista foi baseada nas recomendações do manual da impressora para prevenir o reconhecimento óptico de caracteres (OCR); o texto nebuloso característico do sistema CAPTCHA foi especialmente elaborado de modo que era difícil ler por um computador, mas fácil para uma pessoa, e isso permitia filtrar bots.

No início dos anos 2000, esses testes estavam por toda parte. Depois veio o reCAPTCHA, desenvolvido por pesquisadores da Carnegie Mellon e comprado pelo Google em 2009, que usava a mesma idéia, mas de uma maneira nova: ao inserir o texto de verificação, os usuários devem identificar certas palavras que os programas não podem reconhecer. Ou seja, o programa varre o texto e marca as palavras que não pode reconhecer. Nos testes reCAPTCHA, essas palavras são colocadas ao lado de palavras conhecidas - dessa maneira, o usuário é verificado em uma palavra conhecida e, em seguida, ele ajuda a identificar uma nova.

Em 2011, o Google havia digitalizado todo o arquivo do New York Times apenas com os testes reCAPTCHA. Os usuários reconheciam o texto das digitalizações de jornais com uma palavra borrada de cada vez, o que tornava possível digitalizar o catálogo de jornais e organizar uma pesquisa nele. Ao criar uma ferramenta conveniente para proteger sites de bots, o Google conseguiu atrair pessoas para fazer seu próprio trabalho tedioso.

Você não pode se recusar a usar o reCAPTCHA: você é obrigado a concordar em acompanhar ou parar de usar o site que precisa.

Tendo alcançado esses resultados, em 2014 o reCAPTCHA passou a exibir imagens do aplicativo Google Street View. Depois de clicar no botão "Eu não sou um robô", você pode ser solicitado a determinar qual das nove imagens contém "bicicletas" ou "luzes da rua". Paralelamente, o Google reduziu a frequência com que os usuários foram solicitados a verificar - isso foi conseguido graças à análise comportamental : agora o reCAPTCHA pode trabalhar em segundo plano e acompanhar como usamos os sites.

Se o seu computador possuir um cookie do Google ou você usar o mouse e o teclado na página para que não pareça um bot, não será solicitado que você faça o teste do Street View. Mas alguns usuários que se preocupam com a privacidade se queixaram de que, após a exclusão de cookies e a visualização no modo de navegação anônima , o número de testes reCAPTCHA oferecidos para serem aprovados aumenta consideravelmente .

Os usuários também observaram que, ao trabalhar em navegadores concorrentes com o Google Chrome, como o Firefox, eram necessários mais testes, e isso naturalmente levanta a questão: o reCAPTCHA é usado para fortalecer o domínio do navegador do Google?

Isso levanta sérias preocupações com a privacidade, principalmente porque a principal receita do Google vem de uma empresa de publicidade que depende do rastreamento de dados. Pode ser preocupante que o reCAPTCHA seja essencialmente uma ferramenta de rastreamento de publicidade que se oculta em sites comuns, assim como o botão Curtir do Facebook incorporado em páginas da web.

Ponto de vista do Google

Para usar a versão mais recente do reCAPTCHA, os desenvolvedores devem incluir tags de rastreamento no maior número possível de páginas do site - isso oferece uma oportunidade de obter uma imagem melhor das ações do usuário. No entanto, essa ferramenta não existe no vácuo: por exemplo, também existe o Google Analytics, uma plataforma que ajuda desenvolvedores e profissionais de marketing a entender como os visitantes usam um site. É uma excelente ferramenta usada em mais de 100.000 dos 1 milhão de sites mais visitados, de acordo com a versão Built With , mas ao mesmo tempo faz parte de uma estratégia para rastrear os hábitos dos usuários na Internet.

A nova versão do reCAPTCHA preenche as partes ausentes desta imagem e permite que o Google penetre ainda mais - em sites que não usam o Google Analytics. Em resposta a reivindicações relevantes, a empresa disse à Fast Company que não coletaria dados do usuário do reCAPTCHA para fins publicitários e que os dados coletados são usados ​​para melhorar o serviço.

Mas esses dados permanecem dentro de uma caixa preta, mesmo para desenvolvedores que implementam essa tecnologia em casa. A documentação do reCAPTCHA não menciona dados do usuário, nem explica como os usuários podem ser rastreados e onde as informações são finalmente encontradas - simplesmente descreve a implementação prática.

Pedi ao Google para dizer com mais detalhes quais obrigações a empresa assume com relação à independência do reCAPTCHA do negócio de publicidade a longo prazo: o fato de não estarem conectados agora não significa que não estarão conectados no futuro.

"O Google não usará o reCAPTCHA para publicidade personalizada."

Uma porta-voz do Google disse que “o reCAPTCHA só pode ser usado para combater spam e uso indevido de [sites]” e que “a API de serviço do reCAPTCHA funciona coletando informações sobre hardware e software, como dados de dispositivos e aplicativos, e enviando-os Dados do Google para análise. As informações coletadas em conexão com o uso do serviço serão usadas para melhorar o reCAPTCHA e para fins de segurança geral. O Google não usará o reCAPTCHA para publicidade personalizada. ”

Isso é ótimo, e espero que o Google cumpra sua promessa. O problema é que não há razão para acreditar que tudo será assim. A introdução de uma tecnologia de rastreamento tão poderosa é um passo que deve ser objeto de muita atenção do público, pois já vimos com que facilidade as coisas podem dar errado. Por exemplo, em 2014, foi prometido que o WhatsApp permaneceria independente, funcionaria separadamente da infraestrutura de back-end do Facebook, mas apenas dois anos depois, essa decisão foi revisada . Quando o Google adquiriu a Nest, também nos foi prometida a independência, que foi abandonada apenas cinco anos depois : os proprietários de dispositivos tiveram que mudar para uma conta do Google ou abandonar algumas funções.

O Google pode criar um serviço como o reCAPTCHA, graças aos seus vastos recursos e amplo alcance, mas esse também é o motivo para suspeitar que tudo vai piorar.

Infelizmente, nós, como usuários, podemos fazer pouco. Você não pode se recusar a usar o reCAPTCHA: você é obrigado a concordar em acompanhar ou parar de usar o site que precisa. Se você não gosta de scanners corporais nos aeroportos, pode pelo menos recusá-los e fazer uma pesquisa regular. Mas se o site tiver reCAPTCHA, você não poderá se recusar a usá-lo.

Se o Google pretende criar essas ferramentas levando em consideração o interesse público, e não seu próprio lucro, as empresas precisam encontrar maneiras mais convincentes de garantir aos outros que não mudarão sua palavra quando for conveniente. Se eles quisessem abrir o código-fonte do projeto (como foi com muitos outros produtos ), retirá-lo da empresa ou, pelo menos, configurar a supervisão de terceiros, talvez seja um bom começo que ajude a ganhar a confiança dos usuários.

Sobre o tradutor

O artigo foi traduzido por Alconost.

A Alconost localiza jogos , aplicativos e sites em 70 idiomas. Tradutores nativos, testes linguísticos, plataforma em nuvem com API, localização contínua, gerentes de projeto 24/7, qualquer formato de recursos de string.

Também criamos vídeos de publicidade e treinamento - para sites que vendem, imagem, publicidade, treinamento, teasers, exploradores, trailers do Google Play e da App Store.

→ Leia mais