DauXanh4522
New member
Mấy hôm qua cõi mạng đang náo loạn vì drama Cốc Cốc nè! Hóa ra trình duyệt "quốc dân" này có vẻ hơi... đa nghi khi bị soi ra gửi dữ liệu cookie về máy chủ, thậm chí mọi thứ mình gõ trên trình duyệt đều bay về server với lý do "kiểm tra chính tả". Ủa vậy là sao?
Chuyện gì đã xảy ra vậy trời?
Ngày 15/4, anh Trần Văn Hòa ở group SEM Việt Nam nghi ngờ Cốc Cốc "ngó lơ" thông tin của mình, nên đã mở phần mềm kiểm tra request lên xem thử. Và bùm! Phát hiện Cốc Cốc có gửi POST request chứa cookies tài khoản vừa đăng nhập lên tên miền https://spell.itim.vn. Check kỹ thì domain này thuộc về... Công ty TNHH Cốc Cốc luôn! Và cookies đó chính là thông tin đăng nhập Facebook đó các bạn ơi!
Tất nhiên netizen lập tức panik, lo Cốc Cốc lấy cắp info Facebook của mọi người rồi.
Plot twist đỉnh kịch!
Nhưng mà khoan đã! Sau khi kiểm tra kỹ hơn, anh Trần Văn Hòa đã đính chính lại: Cốc Cốc KHÔNG gửi cookies của người dùng lên server nha!
Nguyên nhân là do chính anh tự viết một addon tên "Ninja fast login facebook" để đăng nhập Facebook nhanh bằng cookies. Trong khi đó, Cốc Cốc có tính năng kiểm tra chính tả để sửa lỗi và thêm dấu cho user.
Anh Hòa phát hiện ra là khi copy nội dung bất kỳ và click vào addon thì Cốc Cốc đều gửi lên server (còn copy thường thì không). Khi làm thử nghiệm, anh đã copy đoạn cookies đăng nhập Facebook và tính năng kiểm tra chính tả của Cốc Cốc đã gửi nội dung copy đó (được lưu trong clipboard) lên server để check chính tả, dẫn đến hiểu lầm là Cốc Cốc ăn cắp thông tin đăng nhập. Hú hồn!
Ông Hiếu Phan, Trưởng nhóm dev Trình duyệt Cốc Cốc cũng lên tiếng khẳng định không thu thập info Facebook hay bất kỳ thông tin cá nhân nào của user cả.
Theo ông Hiếu thì đây chỉ là hiểu nhầm: Extension Ninja Fast Login Facebook dùng mẹo paste vào một text field ẩn để lấy dữ liệu từ clipboard. Và tính năng kiểm tra chính tả của Cốc Cốc chạy trên text field đó nên vô tình gửi cookies mà anh Hòa copy lên luôn.
"Cốc Cốc không cố tình làm vậy đâu. Tuy nhiên việc để spell checker chạy trên text field ẩn là một bug. Chúng tôi sẽ fix trong bản release tới" – ông Hiếu giải thích trên Whitehat.vn.
Cốc Cốc cũng khuyên mọi người không nên xài Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra chính tả đi, cho đến khi họ fix xong bug này.
Vậy là tuy kết luận ban đầu của anh Hòa không đúng hoàn toàn, nhưng phát hiện này cho thấy một lỗi của Cốc Cốc mà nếu bị lạm dụng thì có thể làm lộ data cá nhân của user đó nha!
Lo ngại level max: spell check gửi MỌI THỨ về server!
Ngay sau đó, thành viên lochv37 trên diễn đàn Whitehat.vn làm thử nghiệm khác để trả lời 2 câu hỏi:
(1) Cốc Cốc có lấy cookies Facebook không?
(2) Tính năng spell check có gửi mọi thông tin của user về server không?
Kết quả cho thấy:
• Câu 1: KHÔNG! (đúng như phân tích ở trên rồi)
• Câu 2: CÓ! (nah này mới đáng lo đây)
Test trên phiên bản trước ngày 16/4, anh lochv37 thấy mọi thông tin gõ vào trình duyệt đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng tư với crush trên chat Facebook luôn á!
Điều này làm netizen lo lắng cực độ, vì mọi thứ mình gõ (email, chat, comment trên mạng xã hội, bình luận trên website, hay bất kỳ text nào...) đều được gửi lên máy chủ Cốc Cốc – và theo video thì hoàn toàn KHÔNG được mã hóa!
Về việc này, ông Hiếu Phan trả lời: "Để phục vụ cho tính năng spell checker, chúng tôi bắt buộc phải gửi những gì bạn nhập vào text field lên server. Server sẽ kiểm tra và trả kết quả gợi ý về cho trình duyệt.
Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi. Các dữ liệu này cũng chỉ được lưu trữ tạm thời để sửa lỗi và cải thiện chất lượng. Đấy là thiết kế bình thường cho bất cứ online service nào".
Ông Hiếu cho biết "Google cũng thiết kế spell checker như vậy. Tuy nhiên chúng tôi biết đây là dữ liệu nhạy cảm, do đó từ bản 68 (release tháng 12/2017), chúng tôi đã tiến hành mã hóa nó. Điều này khiến dữ liệu của bạn được bảo đảm hơn bao giờ hết".
Đại diện Cốc Cốc cũng khẳng định tính năng này không hoạt động trên ô nhập mật khẩu, nên không có chuyện password bị gửi về server của Cốc Cốc đâu nha.
Nhưng mà các bác ơi...
Phản biện lại câu trả lời của ông Hiếu Phan, thành viên Putin trên Whitehat.vn tiếp tục chỉ ra những điểm đáng ngờ:
Đúng là Google cũng có tính năng check chính tả, nhưng Google mặc định TẮT tính năng này, user phải tự bật lên. Còn Cốc Cốc thì mặc định BẬT, user phải tự tắt đi. Khác biệt ở đây rồi nha!
Thực tế là hầu hết user không biết hoặc không để ý các tính năng ẩn của trình duyệt. Vậy nên việc tự động bật các tính năng có thể gây hại mà không xin phép user thì rõ ràng là vi phạm quyền riêng tư rồi!
Khi gõ email hay nhắn tin với bạn bè, mình chỉ nghĩ là đang gửi lên Facebook hay Google thôi, hoàn toàn không biết mọi thứ đã được gửi về máy chủ của bên thứ ba là Cốc Cốc – điều này quá nguy hiểm và không được phép luôn!
Putin cũng đặt vấn đề về việc mã hóa của Cốc Cốc: nếu họ mã hóa nhưng dùng private key để giải mã thì việc mã hóa này là vô nghĩa mà!
Thành viên deamoncute cho rằng, dù Cốc Cốc cam kết data của user an toàn, không bị leak và không bán hay share cho bên thứ ba nào, nhưng không đảm bảo dữ liệu không thể bị khai thác bởi "một bạn nhân viên xấu tính hoặc một lỗ hổng nào đó có thể mang theo toàn bộ user data đi".
Ngoài ra còn một nghi vấn nữa: đại diện Cốc Cốc nói thời gian lưu trữ dữ liệu chỉ là tạm thời nhưng không nói rõ lưu trong bao lâu. Vì thực tế nếu để check chính tả thì check xong là có thể xóa ngay mà không cần lưu chứ!
Hiện tại thì sao?
Theo các bạn trên diễn đàn Whitehat.vn, phiên bản Cốc Cốc hiện tại đã được sửa, không còn gửi thông tin user về server nữa rồi.
Tuy nhiên, điều này không đảm bảo hơn 20 triệu người dùng Cốc Cốc sẽ không bị lộ info, vì những ai đang xài phiên bản cũ vẫn sẽ gặp tình trạng data bị gửi về server đó!
Bài học rút ra
Sau scandal leak dữ liệu của Facebook, sự việc với Cốc Cốc lại thêm một lần nữa cho thấy nguy cơ mất an toàn data có thể đến từ bất kỳ đâu.
Các bạn user Internet cần hết sức thận trọng khi cấp quyền cho các trình duyệt, ứng dụng truy cập vào dữ liệu trên điện thoại, máy tính của mình nhé!
Bản thân các dev cũng cần thận trọng trong việc bật sẵn các tính năng có thể thu thập, lưu trữ thông tin của user. Vì cho dù data không bị dùng vào mục đích xấu nhưng user hoàn toàn có quyền nghi ngờ sự an toàn dữ liệu của họ khi mà dữ liệu đó được thu thập một cách lén lút, thiếu minh bạch, chưa được phép!
Nguồn: soha.vn