Trong nhiều năm nay, mỗi khi muốn đăng nhập vào một website hay đưa lên một form đăng ký nào đó, người dùng internet lại phải kiên nhẫn click vào những hình ảnh chứa cột đèn giao thông, xe đạp hay mặt tiền cửa hàng bán lẻ, để chứng minh với máy tính rằng, mình là không phải là một bot máy tính.

Đó là cách làm phổ biến của công cụ reCaptcha từ nhiều năm nay để phân biệt người và máy tính. Thế nhưng từ mùa thu năm ngoái, Google đã tung ra một phiên bản mới của công cụ này, với mục đích làm giảm sự phiền hà của người dùng đối với bước xác thực này.

Trải nghiệm người dùng tốt hơn trong thế giới web

Google reCaptcha phiên bản mới: con dao hai lưỡi đối với người dùng - Ảnh 1.

Giờ đây khi bạn nhập vào một form đăng ký trên website đang sử dụng công cụ reCaptcha V3, bạn sẽ không còn thấy ô tích "I’m not a robot" nữa, cũng như không phải tìm và bấm vào các hình ảnh có con mèo. Tóm lại bạn sẽ không còn phải nhìn thấy những gì khó chịu nữa.

"Đó sẽ là một trải nghiệm tốt hơn cho người dùng. Mọi người đều không thích Captcha." Cy Khormaee, người đứng đầu sản phẩm reCaptcha tại Google cho biết.

Theo Khormaee, Google phân tích cách người dùng điều hướng qua một trang web và gán cho họ một điểm số rủi ro về mức độ độc hại trong hành vi của họ. Dù không chia sẻ chi tiết về cách xác định của Google, nhưng Khormaee cho rằng, reCaptcha phiên bản mới sẽ làm những người "cày cuốc" Captcha (hay Captcha farmer) hoặc các bot rất khó đánh lừa được các hệ thống của Google.

Theo Built With, website thống kê công nghệ, đã có hơn 650.000 website đang sử dụng reCaptcha V3 trong tổng số hơn 4,5 triệu website sử dụng công cụ reCaptcha (25% trong số 10.000 trang web hàng đầu cũng dùng công cụ này). Google cũng đang thử nghiệm một phiên bản doanh nghiệp cho reCaptcha V3, với khả năng phân tích dữ liệu kỹ càng hơn về mức độ độc hại trong hành vi của người dùng, nhằm bảo vệ trang web của doanh nghiệp trước các bot và người dùng độc hại.

Google reCaptcha phiên bản mới: con dao hai lưỡi đối với người dùng - Ảnh 2.

Nếu bạn có tài khoản Google, nhiều khả năng bạn là con người

Theo hai nhà nghiên cứu bảo mật về reCaptcha, một trong những cách Google xác định liệu bạn là một người dùng độc hại hay không là bạn có một cookie Google cài đặt sẵn trên trình duyệt của mình. Cũng chính cookie đó sẽ cho phép bạn đăng nhập vào tài khoản Google mà không cần gõ lại thông tin mỗi khi sang một cửa sổ mới.

Nhưng trong một bài báo được công bố vào tháng Tư, Mohamed Akrout, tiến sĩ về khoa học máy tính tại Đại học Toronto, người từng nghiên cứu về reCaptcha V3, đã viết về cách mô phỏng của reCaptcha V3 để khi chạy trên một trình duyệt được kết nối với một tài khoản Google sẽ có điểm số rủi ro thấp hơn các trình duyệt không được kết nối với tài khoản Google.

Google reCaptcha phiên bản mới: con dao hai lưỡi đối với người dùng - Ảnh 3.

Hay nói cách khác: "Nếu bạn có một tài khoản Google, nhiều khả năng bạn là con người".

Với reCaptcha V3, cả hai bài kiểm tra của Akrout và nhà tư vấn công nghệ Marcos Perona đều cho thấy rằng, điểm số reCaptcha luôn thấp hơn khi họ dùng một trình duyệt đã đăng nhập vào tài khoản Google để truy cập một website thử nghiệm. Còn nếu họ truy cập vào website thử nghiệm đó bằng trình duyệt riêng tư như Tor hay qua VPN, điểm số của họ luôn thấp hơn.

Để hệ thống chấm điểm số rủi ro hoạt động chính xác, các nhà quản trị website phải nhúng mã của reCaptcha V3 lên tất cả các trang trong website của họ, chứ không chỉ trong các form đăng ký hoặc trang đăng nhập. Sau đó, reCaptcha sẽ học dần theo thời gian về cách người dùng thường hoạt động như thế nào trên các trang web của họ, giúp thuật toán máy học bên dưới nó tạo ra các điểm số rủi ro chính xác hơn.

Google reCaptcha phiên bản mới: con dao hai lưỡi đối với người dùng - Ảnh 4.

Bởi vì reCaptcha v3 có mặt trong mọi trang trên website, nên nếu bạn đăng nhập vào tài khoản Google trên trình duyệt, Google sẽ có khả năng thu thập dữ liệu từ mỗi trang web bạn truy cập có nhúng mã reCaptcha v3 – và điều đó xảy ra mà không có một chỉ dẫn bằng hình ảnh nào về nó, ngoại trừ một logo reCaptcha nhỏ ẩn giấu ở góc trình duyệt.

Theo Perona, trong khi reCaptcha và hệ thống chấm điểm số rủi ro của nó giúp những người quản trị và sở hữu website kiểm soát tốt hơn những gì đang diễn ra trước những cuộc tấn công bằng bot hoặc lừa đảo, nhưng nó lại phải đánh đổi với một thứ.

Con dao hai lưỡi đối với người dùng

Ông cho biết: "Nó trở nên có ý nghĩa và thân thiện với người dùng hơn, nhưng nó cũng mang lại cho Google nhiều dữ liệu hơn." Google không cho biết, họ làm gì với dữ liệu họ thu thập được về hành vi người dùng thông qua reCaptcha, thay vào đó họ chỉ cho biết rằng, chúng được sử dụng để cải thiện reCaptcha và vì các mục đích bảo mật nói chung.

Loại cookie thu thập dữ liệu này có mặt ở khắp mọi nơi trên internet. Những người khổng lồ công nghệ sử dụng nó để xác định những nơi người dùng đến khi họ lướt web, giúp cung cấp các mục tiêu quảng cáo tốt hơn. Ví dụ cookies reCaptcha của Google có cùng logic với nút like của Facebook khi nó được nhúng trong các website khác – nó cho các website có thêm chức năng tương tác mạng xã hội, nhưng nó cũng cho phép Facebook biết rằng bạn đã ở đó.

Google reCaptcha phiên bản mới: con dao hai lưỡi đối với người dùng - Ảnh 5.

Trước đây, Google từng nói rằng dữ liệu reCaptcha thu thập được sẽ không được dùng để hướng mục tiêu quảng cáo hay phân tích những mối quan tâm của người dùng. Ngay cả hiện tại trong trang điều khoản dịch vụ của Google, cũng không có phần nào đề cập đến reCaptcha.

Nhưng sau khi báo cáo này của Fast Compnay được công bố, Google cho biết, các API của reCaptcha sẽ gửi thông tin phần cứng và phần mềm, bao gồm dữ liệu về thiết bị và ứng dụng tới Google để phân tích, và rằng dịch vụ này chỉ được sử dụng để chống spam và các hành vi lạm dụng khác. Google còn nhấn mạnh thêm rằng, thông tin gửi qua reCaptcha sẽ không được Google sử dụng để quảng cáo cá nhân hóa.

Perona xem mục đích của Google đối với reCaptcha cũng tương tự như "một chủ đất trực tuyến" đang củng cố quyền sở hữu của Google đối với internet. reCaptcha cũng tương tự như sản phẩm AMP của Google (Accelerated Mobile Pages), một chương trình giúp các trang tin tức tải nhanh hơn trên điện thoại nhưng đã gây ra nhiều sự nghi ngờ từ các nhà xuất bản về việc liệu Google có lấy traffice web của họ hay không. Điều tương tự cũng đã xảy ra với Google Chrome, khi gần đây tờ Washington Post đã gọi nó trình duyệt này là một "phần mềm do thám".

Perona cho biết: "Nó luôn là một con dao hai lưỡi. Bạn được một cái gì đó, nhưng bạn cũng phải cho Google thêm một ít quyền kiểm soát đối với mọi thứ trực tuyến." Trong trường hợp này là bảo mật và trải nghiệm người dùng tốt hơn, nhưng đổi lại quyền riêng tư có thể bị xâm phạm.