Chuyện Cốc Cốc có bí ẩn lấy thông báo người dùng hay không, đang trở nên đề tài được quan hoài nhiều trên các diễn đàn công nghệ. thông tin này làm người dùng khá lo lắng về việc lộ lọt dữ liệu cá nhân chủ nghĩa khi dùng trình duyệt Cốc Cốc.
Như ICTnews đã thông báo, từ sớm trưa 15/4, cộng đồng người dùng Facebook trong nước xuất hiện thông báo nghi vấn “trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng”. Cụ thể, liên hệ đến thông báo gây bất thần này, nhóm Facebook SEM Việt Nam cho hay khi bật phần mềm rà soát trên máy tính thì thấy Cốc Cốc có gửi lên server thông tin có chứa cookies trương mục vừa đăng nhập lên domain: https://spell.itim.vn
Cũng theo nguồn tin buộc tội này, khi check domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc và cookies đăng nhập chính là trương mục Facebook. Ngay sau khi thông tin trên đăng tải, thực tiễn đã làm cho người dùng Facebook trong nước lo âu về việc bị lộ lọt dữ liệu cá nhân khi dùng trình duyệt Cốc Cốc.
Về việc này, chiều qua, ngày 16/4/2018, trong thông tin phản hồi với báo chí, phía Cốc Cốc đã thông tin rằng lỗi trên là phối hợp cả 2 phía: do người dùng dùng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.
Cốc Cốc cũng khuyến cáo người dùng không nên dùng Ninja Fast Login Facebook hoặc tắt tính năng soát lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.
Tuy nhiên, trong bài viết đăng tải tối qua trên Diễn đàn an ninh mạng Việt Nam WhiteHat.vn, thành viên lockv37 của Diễn đàn này cho rằng câu đáp của Cốc Cốc chưa thực thụ thuyết phục và vẫn còn khá nhiều câu hỏi được đặt ra: thứ nhất, Cốc Cốc có lấy cookies Facebook của người dùng? Thứ hai, tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?
“Câu giải đáp cho câu hỏi thứ nhất là “Không!” Như Cốc Cốc đã thông tin, lỗi này là do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng soát lỗi chính tả spell checker của Cốc Cốc”, thành viên lockv37 của Diễn đàn WhiteHat.vn lý giải.
Đáng để ý, với câu hỏi: “Tính năng spell check của Cốc Cốc có gửi mọi thông báo của người dùng về cho Cốc Cốc hay không?”, thành viên lockv37 khẳng định câu trả lời là “Có”. Minh chứng cho nhận định này, thành viên lockv37 đã thực hành video so sánh 2 phiên bản của Cốc Cốc trước ngày 16/4 với bản mới phát hành ngày 16/4/2018. Kết quả thử nghiệm cho thấy, trên một phiên bản phát hành trước ngày 16/4, ắt những gì người dùng gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng. Còn với phiên bản mới nhất được Cốc Cốc phát hành ngày 16/4 thì thông báo dữ liệu người dùng gõ không còn được gửi về server Cốc Cốc.
Nhận định về vụ việc này, ông Trần Quang Chiến - CEO Công ty an toàn thông tin CyStack cho biết thêm, spell check là tính năng của trình duyệt Cốc Cốc để tự động hoàn thiện câu và kiểm tra chính tả cho người dùng trình duyệt Cốc Cốc. Có thể do giới hạn nào đó hoặc để đảm bảo hiệu năng thì Cốc Cốc sẽ tính toán ở một nơi khác, họ gửi các dữ liệu mà người dùng gõ trên trình duyệt đến một hệ thống tính toán khác rồi trả lại kết quả trên trình duyệt cho người dùng.
“Tính năng này khá hữu ích cho người dùng. Tuy nhiên dữ liệu người dùng nhập vào trình duyệt có thể bao gồm các thông báo mẫn cảm như: các tin nhắn tây riêng, username, email... Với các tính năng như thế này, tôi cho rằng Cốc Cốc nên có phương án nào đó để không phải gửi các dữ liệu mẫn cảm của người dùng đến nơi khác. thí dụ như xử lý ngay tại trình duyệt hoặc phối hợp cả trình duyệt và máy chủ dịch vụ của Cốc Cốc”, ông Chiến nêu quan điểm.
liên can đến thông tin thành viên Diễn đàn WhiteHat.vn cho rằng nội dung người dùng gõ trên trình duyệt Cốc Cốc đều được gửi về máy chủ của Cốc Cốc, chiều nay, ngày 17/4, Cốc Cốc đã chính thức có thông báo phản hồi với báo chí.
Theo đó, đại diện truyền thông của Cốc Cốc cho biết, về vấn đề nêu trên, ông Hiếu Phan, Trưởng nhóm phát triển trình duyệt Cốc Cốc cho biết để phục vụ cho tính năng thẩm tra chính tả, thêm dấu Cốc Cốc bức phải gửi những gì người dùng vào các trường văn bản (text field) lên máy chủ.
“Máy chủ sẽ thẩm tra và trả kết quả gợi ý trở lại cho trình duyệt. tuốt dữ liệu gửi lên là vô danh (anonymous). Cốc Cốc không thể biết chuẩn xác ai đã gửi dữ liệu lên. Các dữ liệu này cũng chỉ được lưu trữ lâm thời để sửa lỗi và cải thiện chất lượng dữ liệu. Đấy là thiết kế thường ngày cho bất cứ một dịch vụ trực tuyến (online service) nào”, ông Hiếu Phan cho hay.
Đại diện Cốc Cốc cũng khẳng định tính năng này không hoạt động ô nhập liệu mật khẩu của người dùng. “bởi vậy không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc", ông Hiếu cho biết. Cũng theo ông Hiếu thảy các dữ liệu này đều được mã hoá nên dữ liệu của người dùng hoàn toàn được đảm bảo.
Giải thích thêm về tính năng kiểm tra chính tả, đại diện Cốc Cốc cho biết đây là tính năng giúp người dùng tăng hiệu quả gõ văn bản trên môi trường mạng.
Khi người dùng trình duyệt Cốc Cốc bình luận trên một trang báo điện tử hoặc trên Facebook trình duyệt sẽ phát hiện những lỗi chính tả và gợi ý giúp người dùng sửa lỗi.
Cũng theo đại diện Cốc Cốc, khi người dùng bình luận trên Facebook hoặc gõ văn bản trên bất cứ cửa sổ soạn thảo văn bản trực tuyến nào bằng tiếng Việt không dấu, trình duyệt Cốc Cốc sẽ tự động điền đấu tiếng Việt có dấu với độ chuẩn xác gần 100%. Tính năng này ước lượng sẽ giúp giảm bớt 20% thời kì gõ văn bản. “Ngoài ra, tính năng này cũng cho phép phát hiện những lỗi chính tả và đưa ra gợi ý sửa lỗi giúp người dùng có được văn bản tốt nhất”, đại diện Cốc Cốc cho biết.
Dù vậy, những lý giải của đại diện Cốc Cốc hiện vẫn chưa thực thụ thuyết phục được các thành viên WhiteHat.vn. Cụ thể, về ý kiến khẳng định của đại diện Cốc Cốc cho rằng tính năng spell check trên Cốc Cốc “không hoạt động ô nhập liệu mật khẩu của người dùng, do vậy không có việc thông báo mật khẩu người dùng được gửi về máy chủ của Cốc Cốc. hết thảy các dữ liệu này đều được mã hóa nên dữ liệu của người dùng được bảo đảm", một thành viên kỳ cựu của Diễn đàn WhiteHat.vn nhận định. Vấn đề đặt ra là Cốc Cốc không gửi về thông tin mật khẩu hoặc chuỗi chỉ gồm có số. Tuy nhiên, ngoài 2 cái đó ra thì Cốc Cốc có gửi những thông báo khác về, miễn sao người dùng gõ trên trình duyệt, bao gồm chat, email…
“Và vấn đề lớn nhất là tính năng Spell Check, Google Chrome cũng có nhưng mặc định tắt đi, còn Cốc Cốc thì bật mặc định nhưng không thông tin tường minh cho người dùng, về nguyên tắc dữ liệu tây riêng là không đúng. Và nếu Cốc Cốc cho rằng việc gửi thông báo về là đúng và không có vấn đề gì, vậy tại sao phiên bản mới nhất ngày 16/4 lại phải tắt tính năng này đi?”, thành viên Diễn đàn WhiteHat.vn nhấn mạnh.
Bài viết trên được học viện quốc tế NIIT-ICT Hà Nội thu thập
0 comments:
Post a Comment