Thực hư chuyện Cốc Cốc bí mật thu thập thông tin người dùng_thứ hạng bóng đá thế giới

Như ICTnews đã thông tin,ựchưchuyệnCốcCốcbímậtthuthậpthôngtinngườidùthứ hạng bóng đá thế giới từ tối ngày 15/4, cộng đồng người dùng Facebook trong nước xuất hiện thông tin nghi vấn “trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng”. Cụ thể, liên quan đến thông tin gây bất ngờ này, nhóm Facebook SEM Việt Nam cho hay khi bật phần mềm kiểm tra trên máy tính thì thấy Cốc Cốc có gửi lên server thông tin có chứa cookies tài khoản vừa đăng nhập lên domain: https://spell.itim.vn

Cũng theo nguồn tin cáo buộc này, khi check domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc và cookies đăng nhập chính là tài khoản Facebook. Ngay sau khi thông tin trên đăng tải, thực tế đã làm cho người dùng Facebook trong nước lo lắng về việc bị lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc.

Về việc này, chiều qua, ngày 16/4/2018, trong thông tin phản hồi với báo chí, phía Cốc Cốc đã thông tin rằng lỗi trên là kết hợp cả 2 phía: do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.

Cốc Cốc cũng khuyến cáo người dùng không nên sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.

Tuy nhiên, trong bài viết đăng tải tối qua trên Diễn đàn an ninh mạng Việt Nam WhiteHat.vn, thành viên lockv37 của Diễn đàn này cho rằng câu trả lời của Cốc Cốc chưa thực sự thuyết phục và vẫn còn khá nhiều câu hỏi được đặt ra: thứ nhất, Cốc Cốc có lấy cookies Facebook của người dùng? Thứ hai, tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?

“Câu trả lời cho câu hỏi thứ nhất là “Không!” Như Cốc Cốc đã thông tin, lỗi này là do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc”, thành viên lockv37 của Diễn đàn WhiteHat.vn lý giải.

Đáng chú ý, với câu hỏi: “Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?”, thành viên lockv37 khẳng định câu trả lời là “Có”. Minh chứng cho nhận định này, thành viên lockv37 đã thực hiện video so sánh 2 phiên bản của Cốc Cốc trước ngày 16/4 với bản mới phát hành ngày 16/4/2018. Kết quả thử nghiệm cho thấy, trên một phiên bản phát hành trước ngày 16/4, tất cả những gì người dùng gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng. Còn với phiên bản mới nhất được Cốc Cốc phát hành ngày 16/4 thì thông tin dữ liệu người dùng gõ không còn được gửi về server Cốc Cốc. 

Nhận định về vụ việc này, ông Trần Quang Chiến - CEO Công ty an toàn thông tin CyStack cho biết thêm, spell check là tính năng của trình duyệt Cốc Cốc để tự động hoàn thiện câu và kiểm tra chính tả cho người dùng trình duyệt Cốc Cốc. Có thể do giới hạn nào đó hoặc để đảm bảo hiệu năng thì Cốc Cốc sẽ tính toán ở một nơi khác, họ gửi các dữ liệu mà người dùng gõ trên trình duyệt đến một hệ thống tính toán khác rồi trả lại kết quả trên trình duyệt cho người dùng.

“Tính năng này khá hữu ích cho người dùng. Tuy nhiên dữ liệu người dùng nhập vào trình duyệt có thể bao gồm các thông tin nhạy cảm như: các tin nhắn riêng tư, username, email... Với các tính năng như thế này, tôi cho rằng Cốc Cốc nên có phương án nào đó để không phải gửi các dữ liệu nhạy cảm của người dùng đến nơi khác. Ví dụ như xử lý ngay tại trình duyệt hoặc kết hợp cả trình duyệt và máy chủ dịch vụ của Cốc Cốc”, ông Chiến nêu quan điểm.