Cốc cốc chính thức lên tiếng về nghi án ăn cắp thông tin người dùng

Rộ thông tin trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook

Mạng xã hội đang lan truyền thông tin trình duyệt Cốc Cốc thu thập thông tin người dùng, tuy nhiên đại diện Cốc Cốc khẳng định các thông tin trên là "vô danh" nhằm phục vụ người dùng tốt hơn.

Bắt nguồn từ Facebook với nghi vấn rằng trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook người dùng, nơi Cốc Cốc gửi các thông tin có chứa cookies tài khoản vừa đăng nhập lên domain https://spell.itim.vn. Theo ghi nhận, đây là domain do Công ty TNHH Cốc Cốc làm chủ quản, và cookies đăng nhập chính là tài khoản Facebook dẫn đến những lo ngại dữ liệu của mình bị lọt ra ngoài nếu sử dụng Cốc Cốc.

Cốc Cốc đang là trình duyệt được sử dụng phổ biến tại Việt Nam.

Ngay sau khi thông tin được đăng tải, đại diện Cốc Cốc cho biết nguyên nhân xuất phát từ hai vấn đề do người dùng sử dụng add-on Ninja Fast Login Facebook giúp đơn giản hóa việc đăng nhập Facebook hoặc tính năng kiểm tra lỗi chính tả Spell Check của Cốc Cốc. Vì vậy, công ty khuyến cáo người dùng không sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả cho tới khi vấn đề được giải quyết.

Tuy nhiên, theo cộng đồng an ninh mạng WhiteHat.vn nhận định, câu trả lời từ Cốc Cốc chưa thuyết phục, đặc biệt là có hay không chuyện Cốc Cốc lấy thông tin cookies Facebook của người dùng, cũng như Spell Check có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?

Ở trường hợp đầu tiên, thành viên mang tên lockv37 cho rằng "Không". Tuy nhiên ở trường hợp thứ hai, tính năng Spell Check được cho là "Có". Để minh chứng điều thứ hai, lockv37 đã so sánh 2 phiên bản của Cốc Cốc trước ngày 16/4 với bản mới phát hành ngày 16/4/2018. Kết quả là, bản đầu tiên server công ty ghi nhận tất cả những gì mà người dùng gõ vào Cốc Cốc, trong khi bản mới nhất điều này đã không còn xảy ra.

Tính năng kiểm tra chính tả của Cốc Cốc được cho là bắt nguồn từ việc thu thập dữ liệu người dùng?

Nhưng theo lý giải từ ông Trần Quang Chiến - CEO Công ty an toàn thông tin CyStack, nhiều khả năng điều này xuất phát từ đặc tính của Spell Check, vốn yêu cầu gửi dữ liệu mà người dùng gõ trên trình duyệt lên một hệ thống kiểm tra chính tả trước khi trả về kết quả đến người dùng. Đây thực sự là một tính năng hữu ích, nhưng nếu người dùng nhập các thông tin nhạy cảm thì nó lại mở ra vấn đề an ninh nhạy cảm.

Bản thân đại diện truyền thông Cốc Cốc cũng thừa nhận yêu cầu mà người dùng nhập vào trường văn bản sẽ được gửi lên server. Vị này khẳng định các dữ liệu gửi lên đây đều vô danh và Cốc Cốc không thể biết chính xác ai đã gửi nó. Quan trọng hơn, nó chỉ được lưu trữ tạm thời để sửa lỗi - một thiết kế bình thường cho bất kỳ dịch vụ trực tuyến nào - và sẽ không làm việc với ô nhập mật khẩu của người dùng cũng như được mã hóa để bảo đảm an toàn.

Cốc Cốc được tích hợp bên trong rất nhiều tính năng.

Vấn đề đặt ra là, mặc dù Chrome cũng có tính năng tương tự Spell Check nhưng nó được tắt đi theo mặc định, trong khi với Cốc Cốc thì người dùng được kích hoạt mà không có thông báo rõ ràng. Và càng thắc mắc hơn khi mà sau khi thông tin được phát hiện, tại sao Cốc Cốc đã cập nhật phiên bản mới của trình duyệt với tính năng Spell Check bị vô hiệu hóa?

Theo Danviet.vn