Chuyện Cốc Cốc có bí hiểm lấy thông tin người dùng hay không, đang trở thành đề tài được quan hoài nhiều trên các diễn đàn công nghệ. thông báo này làm người dùng khá lo âu về việc lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc.
Như ICTnews đã thông báo, từ tối ngày 15/4, cộng đồng người dùng Facebook trong nước xuất hiện thông báo nghi vấn “trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng”. Cụ thể, liên hệ đến thông báo gây bất ngờ này, nhóm Facebook SEM Việt Nam cho hay khi bật phần mềm rà trên máy tính thì thấy Cốc Cốc có gửi lên server thông báo có chứa cookies trương mục vừa đăng nhập lên domain: https://spell.itim.vn
Cũng theo nguồn tin cáo buộc này, khi check domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc và cookies đăng nhập chính là tài khoản Facebook. Ngay sau khi thông tin trên đăng tải, thực tế đã làm cho người dùng Facebook trong nước lo lắng về việc bị lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc.
Về việc này, chiều qua, ngày 16/4/2018, trong thông tin phản hồi với báo chí, phía Cốc Cốc đã thông báo rằng lỗi trên là kết hợp cả 2 phía: do người dùng dùng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng soát lỗi chính tả spell checker của Cốc Cốc.
Cốc Cốc cũng khuyến cáo người dùng không nên dùng Ninja Fast Login Facebook hoặc tắt tính năng thẩm tra lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.
Tuy nhiên, trong bài viết đăng tải tối qua trên Diễn đàn an ninh mạng Việt Nam WhiteHat.vn, thành viên lockv37 của Diễn đàn này cho rằng câu đáp của Cốc Cốc chưa đích thực thuyết phục và vẫn còn khá nhiều câu hỏi được đặt ra: thứ nhất, Cốc Cốc có lấy cookies Facebook của người dùng? Thứ hai, tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?
“Câu đáp cho câu hỏi thứ nhất là “Không!” Như Cốc Cốc đã thông tin, lỗi này là do người dùng dùng đồng thời add-on Ninja Fast Login Facebook, phần mềm dùng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng rà lỗi chính tả spell checker của Cốc Cốc”, thành viên lockv37 của Diễn đàn WhiteHat.vn lý giải.
Đáng chú ý, với câu hỏi: “Tính năng spell check của Cốc Cốc có gửi mọi thông báo của người dùng về cho Cốc Cốc hay không?”, thành viên lockv37 khẳng định câu trả lời là “Có”. Minh chứng cho nhận định này, thành viên lockv37 đã thực hành video so sánh 2 phiên bản của Cốc Cốc trước ngày 16/4 với bản mới phát hành ngày 16/4/2018. Kết quả thể nghiệm cho thấy, trên một phiên bản phát hành trước ngày 16/4, quờ những gì người dùng gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng. Còn với phiên bản mới nhất được Cốc Cốc phát hành ngày 16/4 thì thông tin dữ liệu người dùng gõ không còn được gửi về server Cốc Cốc.
Nhận định về vụ việc này, ông Trần Quang Chiến - CEO Công ty an toàn thông tin CyStack cho biết thêm, spell check là tính năng của trình duyệt Cốc Cốc để tự động hoàn thiện câu và thẩm tra chính tả cho người dùng trình duyệt Cốc Cốc. Có thể do giới hạn nào đó hoặc để bảo đảm hiệu năng thì Cốc Cốc sẽ tâm tính ở một nơi khác, họ gửi các dữ liệu mà người dùng gõ trên trình duyệt đến một hệ thống tâm tính khác rồi trả lại kết quả trên trình duyệt cho người dùng.
“Tính năng này khá hữu ích cho người dùng. Tuy nhiên dữ liệu người dùng nhập vào trình duyệt có thể bao gồm các thông báo nhạy cảm như: các tin nhắn riêng tây, username, email... Với các tính năng như thế này, tôi cho rằng Cốc Cốc nên có phương án nào đó để không phải gửi các dữ liệu nhạy cảm của người dùng đến nơi khác. tỉ dụ như xử lý ngay tại trình duyệt hoặc phối hợp cả trình duyệt và máy chủ dịch vụ của Cốc Cốc”, ông Chiến nêu ý kiến.
liên can đến thông tin thành viên Diễn đàn WhiteHat.vn cho rằng nội dung người dùng gõ trên trình duyệt Cốc Cốc đều được gửi về máy chủ của Cốc Cốc, chiều nay, ngày 17/4, Cốc Cốc đã chính thức có thông tin phản hồi với báo chí.
Theo đó, đại diện truyền thông của Cốc Cốc cho biết, về vấn đề nêu trên, ông Hiếu Phan, Trưởng nhóm phát triển trình duyệt Cốc Cốc cho biết để phục vụ cho tính năng soát chính tả, thêm dấu Cốc Cốc buộc phải gửi những gì người dùng vào các trường văn bản (text field) lên máy chủ.
“Máy chủ sẽ thẩm tra và trả kết quả gợi ý trở lại cho trình duyệt. ắt dữ liệu gửi lên là vô danh (anonymous). Cốc Cốc không thể biết xác thực ai đã gửi dữ liệu lên. Các dữ liệu này cũng chỉ được lưu trữ trợ thời để sửa lỗi và cải thiện chất lượng dữ liệu. Đấy là thiết kế thường ngày cho bất cứ một dịch vụ trực tuyến (online service) nào”, ông Hiếu Phan cho hay.
Đại diện Cốc Cốc cũng khẳng định tính năng này không hoạt động ô nhập liệu mật khẩu của người dùng. “thành thử không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc", ông Hiếu cho biết. Cũng theo ông Hiếu tất thảy các dữ liệu này đều được mã hoá nên dữ liệu của người dùng hoàn toàn được đảm bảo.
Giải thích thêm về tính năng kiểm tra chính tả, đại diện Cốc Cốc cho biết đây là tính năng giúp người dùng tăng hiệu quả gõ văn bản trên môi trường mạng.
Khi người dùng trình duyệt Cốc Cốc bình luận trên một trang báo điện tử hoặc trên Facebook trình duyệt sẽ phát hiện những lỗi chính tả và gợi ý giúp người dùng sửa lỗi.
Cũng theo đại diện Cốc Cốc, khi người dùng bình luận trên Facebook hoặc gõ văn bản trên bất cứ cửa sổ soạn thảo văn bản trực tuyến nào bằng tiếng Việt không dấu, trình duyệt Cốc Cốc sẽ tự động điền đấu tiếng Việt có dấu với độ chính xác gần 100%. Tính năng này ước tính sẽ giúp giảm bớt 20% thời kì gõ văn bản. “Ngoài ra, tính năng này cũng cho phép phát hiện những lỗi chính tả và đưa ra gợi ý sửa lỗi giúp người dùng có được văn bản tốt nhất”, đại diện Cốc Cốc cho biết.
Dù vậy, những lý giải của đại diện Cốc Cốc hiện vẫn chưa đích thực thuyết phục được các thành viên WhiteHat.vn. Cụ thể, về quan điểm khẳng định của đại diện Cốc Cốc cho rằng tính năng spell check trên Cốc Cốc “không hoạt động ô nhập liệu mật khẩu của người dùng, vì vậy không có việc thông báo mật khẩu người dùng được gửi về máy chủ của Cốc Cốc. cả thảy các dữ liệu này đều được mã hóa nên dữ liệu của người dùng được bảo đảm", một thành viên kỳ cựu của Diễn đàn WhiteHat.vn nhận định. Vấn đề đặt ra là Cốc Cốc không gửi về thông tin mật khẩu hoặc chuỗi chỉ gồm có số. Tuy nhiên, ngoài 2 cái đó ra thì Cốc Cốc có gửi những thông báo khác về, miễn sao người dùng gõ trên trình duyệt, bao gồm chat, email…
“Và vấn đề lớn nhất là tính năng Spell Check, Google Chrome cũng có nhưng mặc định tắt đi, còn Cốc Cốc thì bật mặc định nhưng không thông tin tường minh cho người dùng, về nguyên tắc dữ liệu tây riêng là không đúng. Và nếu Cốc Cốc cho rằng việc gửi thông tin về là đúng và không có vấn đề gì, vậy vì sao phiên bản mới nhất ngày 16/4 lại phải tắt tính năng này đi?”, thành viên Diễn đàn WhiteHat.vn nhấn mạnh.
Bài viết trên được học viện quốc tế NIIT-ICT Hà Nội thu thập
No comments:
Post a Comment