Cụ thể, nhóm nghiên cứu trên đã sử dụng machine learning (cơ chế máy học) để phỏng đoán hình ảnh CAPTCHA (hình ảnh) với tỷ lệ chính xác rất cao, bên cạnh đó là cookie, token để qua mặt các biện pháp bảo mật. Thử nghiệm với 2.235 hình ảnh trên hệ thống reCAPTCHA của Google, tỷ lệ thành công của phương thức này lên tới 70,78%, trong khi thời gian giải một CAPTCHA trung bình là 19,2 giây.

Với mạng xã hội Facebook, tỷ lệ thành công được ghi nhận thậm chí còn cao hơn nhiều, lên tới 83,5% (thử nghiệm trên tổng số 200 CAPTCHA). Lý giải về vấn đề này, các chuyên gia cho biết Facebook sử dụng các hình ảnh có độ phân giải cao, bên cạnh việc phân loại đối tượng. Trong khi đó, Google thường cung cấp ảnh có chất lượng thấp hơn, ảnh CAPTCHA được sử dụng tương tự nhau khiến thuật toán gặp khó khăn trong việc xác định hình ảnh.

Về chi phí để thực hiện một cuộc tấn công sử dụng hệ thống này, các chuyên gia ước tính hacker sẽ chỉ phải bỏ ra khoảng 110 USD/ngày để "vượt rào" hơn 60.000 CAPTCHA từ một địa chỉ IP mà không bị phát hiện. "Hệ thống dò đoán CAPTCHA của chúng tôi có độ chính xác không hề thua kém các dịch vụ chuyên nghiệp hiện nay, mà giá cả thì rẻ hơn khá nhiều".

Hiện tại, Suphannee Sivakorn, Jason Polakis và Angelos D. Keromytis - 3 chuyên gia bảo mật nói trên đã thông báo tình trạng này cho Google và Facebook. Ngay lập tức, gã khổng lồ tìm kiếm đã thay đổi một số thuật toán để tăng độ khó cho CAPTCHA, trong khi Facebook vẫn chưa có động thái cụ thể.