Chuyện Cốc Cốc có bí hiểm lấy thông tin người dùng hay không, đang trở thành đề tài được quan hoài nhiều trên các diễn đàn công nghệ. thông tin này làm người dùng khá lo âu về việc lộ lọt dữ liệu cá nhân chủ nghĩa khi dùng trình duyệt Cốc Cốc.
Như ICTnews đã thông tin, từ sớm trưa 15/4, cộng đồng người dùng Facebook trong nước xuất hiện thông báo nghi vấn “trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng”. Cụ thể, can hệ đến thông báo gây bất ngờ này, nhóm Facebook SEM Việt Nam cho hay khi bật phần mềm kiểm tra trên máy tính thì thấy Cốc Cốc có gửi lên server thông tin có chứa cookies trương mục vừa đăng nhập lên domain: https://spell.itim.vn
Cũng theo nguồn tin kết tội này, khi check domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc và cookies đăng nhập chính là account Facebook. Ngay sau khi thông tin trên đăng, thực tiễn đã làm cho người dùng Facebook trong nước lo âu về việc bị lộ lọt dữ liệu cá nhân chủ nghĩa khi dùng trình duyệt Cốc Cốc.
Về việc này, chiều qua, ngày 16/4/2018, trong thông báo phản hồi với báo chí, phía Cốc Cốc đã thông tin rằng lỗi trên là kết hợp cả 2 phía: do người dùng dùng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng thẩm tra lỗi chính tả spell checker của Cốc Cốc.
Cốc Cốc cũng khuyến cáo người dùng không nên sử dụng Ninja Fast Login Facebook hoặc tắt tính năng rà soát lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.
Tuy nhiên, trong bài viết đăng tối qua trên Diễn đàn an ninh mạng Việt Nam WhiteHat.vn, thành viên lockv37 của Diễn đàn này cho rằng câu trả lời của Cốc Cốc chưa thực thụ thuyết phục và vẫn còn khá nhiều câu hỏi được đặt ra: thứ nhất, Cốc Cốc có lấy cookies Facebook của người dùng? Thứ hai, tính năng spell check của Cốc Cốc có gửi mọi thông báo của người dùng về cho Cốc Cốc hay không?
“Câu trả lời cho câu hỏi thứ nhất là “Không!” Như Cốc Cốc đã thông tin, lỗi này là do người dùng sử dụng song song add-on Ninja Fast Login Facebook, phần mềm dùng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng rà lỗi chính tả spell checker của Cốc Cốc”, thành viên lockv37 của Diễn đàn WhiteHat.vn lý giải.
Đáng chú ý, với câu hỏi: “Tính năng spell check của Cốc Cốc có gửi mọi thông báo của người dùng về cho Cốc Cốc hay không?”, thành viên lockv37 khẳng định câu đáp là “Có”. Minh chứng cho nhận định này, thành viên lockv37 đã thực hiện video so sánh 2 phiên bản của Cốc Cốc trước ngày 16/4 với bản mới phát hành ngày 16/4/2018. Kết quả thể nghiệm cho thấy, trên một phiên bản phát hành trước ngày 16/4, hết thảy những gì người dùng gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng. Còn với phiên bản mới nhất được Cốc Cốc phát hành ngày 16/4 thì thông báo dữ liệu người dùng gõ không còn được gửi về server Cốc Cốc.
Nhận định về vụ việc này, ông Trần Quang Chiến - CEO Công ty an toàn thông báo CyStack cho biết thêm, spell check là tính năng của trình duyệt Cốc Cốc để tự động hoàn thiện câu và soát chính tả cho người dùng trình duyệt Cốc Cốc. Có thể do giới hạn nào đó hoặc để bảo đảm hiệu năng thì Cốc Cốc sẽ tính tình ở một nơi khác, họ gửi các dữ liệu mà người dùng gõ trên trình duyệt đến một hệ thống tính tình khác rồi trả lại kết quả trên trình duyệt cho người dùng.
“Tính năng này khá bổ ích cho người dùng. Tuy nhiên dữ liệu người dùng nhập vào trình duyệt có thể bao gồm các thông tin nhạy cảm như: các tin nhắn riêng tư, username, email... Với các tính năng như thế này, tôi cho rằng Cốc Cốc nên có phương án nào đó để không phải gửi các dữ liệu nhạy cảm của người dùng đến nơi khác. Ví dụ như xử lý ngay tại trình duyệt hoặc kết hợp cả trình duyệt và máy chủ dịch vụ của Cốc Cốc”, ông Chiến nêu ý kiến.
can dự đến thông tin thành viên Diễn đàn WhiteHat.vn cho rằng nội dung người dùng gõ trên trình duyệt Cốc Cốc đều được gửi về máy chủ của Cốc Cốc, chiều nay, ngày 17/4, Cốc Cốc đã chính thức có thông tin phản hồi với báo chí.
Theo đó, đại diện truyền thông của Cốc Cốc cho biết, về vấn đề nêu trên, ông Hiếu Phan, Trưởng nhóm phát triển trình duyệt Cốc Cốc cho biết để phục vụ cho tính năng rà chính tả, thêm dấu Cốc Cốc bức phải gửi những gì người dùng vào các trường văn bản (text field) lên máy chủ.
“Máy chủ sẽ kiểm tra và trả kết quả gợi ý trở lại cho trình duyệt. ắt dữ liệu gửi lên là vô danh (anonymous). Cốc Cốc chẳng thể biết chuẩn xác ai đã gửi dữ liệu lên. Các dữ liệu này cũng chỉ được lưu trữ tạm để sửa lỗi và cải thiện chất lượng dữ liệu. Đấy là thiết kế thông thường cho bất cứ một dịch vụ trực tuyến (online service) nào”, ông Hiếu Phan cho hay.
Đại diện Cốc Cốc cũng khẳng định tính năng này không hoạt động ô nhập liệu mật khẩu của người dùng. “vì thế không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc", ông Hiếu cho biết. Cũng theo ông Hiếu quờ quạng các dữ liệu này đều được mã hoá nên dữ liệu của người dùng hoàn toàn được đảm bảo.
Giải thích thêm về tính năng kiểm tra chính tả, đại diện Cốc Cốc cho biết đây là tính năng giúp người dùng tăng hiệu quả gõ văn bản trên môi trường mạng.
Khi người dùng trình duyệt Cốc Cốc bình luận trên một trang báo điện tử hoặc trên Facebook trình duyệt sẽ phát hiện những lỗi chính tả và gợi ý giúp người dùng sửa lỗi.
Cũng theo đại diện Cốc Cốc, khi người dùng bình luận trên Facebook hoặc gõ văn bản trên bất cứ cửa sổ soạn thảo văn bản trực tuyến nào bằng tiếng Việt không dấu, trình duyệt Cốc Cốc sẽ tự động điền đấu tiếng Việt có dấu với độ xác thực gần 100%. Tính năng này ước lượng sẽ giúp giảm bớt 20% thời gian gõ văn bản. “Ngoài ra, tính năng này cũng cho phép phát hiện những lỗi chính tả và đưa ra gợi ý sửa lỗi giúp người dùng có được văn bản tốt nhất”, đại diện Cốc Cốc cho biết.
Dù vậy, những lý giải của đại diện Cốc Cốc hiện vẫn chưa đích thực thuyết phục được các thành viên WhiteHat.vn. Cụ thể, về quan điểm khẳng định của đại diện Cốc Cốc cho rằng tính năng spell check trên Cốc Cốc “không hoạt động ô nhập liệu mật khẩu của người dùng, nên không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc. tất các dữ liệu này đều được mã hóa nên dữ liệu của người dùng được đảm bảo", một thành viên kỳ cựu của Diễn đàn WhiteHat.vn nhận định. Vấn đề đặt ra là Cốc Cốc không gửi về thông báo mật khẩu hoặc chuỗi chỉ gồm có số. Tuy nhiên, ngoài 2 cái đó ra thì Cốc Cốc có gửi những thông tin khác về, miễn người dùng gõ trên trình duyệt, bao gồm chat, email…
“Và vấn đề lớn nhất là tính năng Spell Check, Google Chrome cũng có nhưng mặc định tắt đi, còn Cốc Cốc thì bật mặc định nhưng không thông báo tường minh cho người sử dụng, về nguyên tắc dữ liệu tây riêng là không đúng. Và nếu Cốc Cốc cho rằng việc gửi thông tin về là đúng và không có vấn đề gì, vậy tại sao phiên bản mới nhất ngày 16/4 lại phải tắt tính năng này đi?”, thành viên Diễn đàn WhiteHat.vn nhấn mạnh.
Bài viết trên được học viện quốc tế NIIT-ICT Hà Nội thu thập
No comments:
Post a Comment