Coccoc tự ý thu thập dữ liệu người dùng

  • 01/04/2018
  • admin
Sau vụ lùm xùm trên group SEM Việt Nam, mới đây thành viên lochv37 thuộc diễn đàn Whitehat lại tiếp tục tung ra bằng chứng mới cho thấy Cốc Cốc đã từng thu thập thông tin của người dùng.

Trước đó, thành viên Trần Văn Hòa thuộc SEM Việt Nam đã đăng tải video cảnh báo người dùng về việc Cốc Cốc thu thập cookies và chuyển về máy chủ từ xa.

Không lâu sau, đại diện phía Cốc Cốc đã lên tiếng về sự việc, đồng thời khuyến cáo người dùng không nên sử dụng tiện ích Ninja Fast Login Facebook hoặc Spellcheck (kiểm tra chính tả) ở thời điểm hiện tại.

Cụ thể, nguyên nhân là do tiện ích Ninja Fast Login Facebook đã sao chép lại cookie để đăng nhập Facebook nhanh hơn. Trong khi đó, tính năng Spellcheck trên trình duyệt sẽ sao chép toàn bộ dữ liệu trong clipboard nếu bạn gõ, sao chép hoặc dán dữ liệu và chuyển mọi thứ về server để kiểm tra chính tả. Điều này vô tình đã khiến cookie Facebook được Ninja Fast Login Facebook sao chép bị gửi về máy chủ.

Nếu muốn vô hiệu hóa tính năng Spellcheck (kiểm tra chính tả) trên trình duyệt Cốc Cốc, người dùng chỉ cần gõ coccoc://settings, chọn Privacy (riêng tư) và vô hiệu hóa tùy chọn Use a web service to help resolve spelling errors (sử dụng dịch vụ web để giúp giải quyết lỗi chính tả).

Vụ việc chưa dừng lại ở đó, mới đây thành viên lochv37 thuộc diễn đàn Whitehat đã thử nghiệm trên hai phiên bản Cốc Cốc khác nhau (trước và sau ngày 16-4), kết quả cho thấy phiên bản trước ngày 16-4 thu thập toàn bộ dữ liệu người dùng nhập vào và gửi về server của Cốc Cốc (https://spell.itim.vn/), kể cả tin nhắn riêng. Ngược lại, phiên bản sau ngày 16-4 đã được cập nhật và không còn gửi thông tin về máy chủ. Bạn đọc quan tâm có thể tham khảo đoạn video ở ngay bên dưới:

Cốc Cốc được xây dựng dựa trên nền tảng mã nguồn mở Chromium, tuy nhiên tính năng kiểm tra chính tả (Spellcheck) trên Google Chrome lại được tắt mặc định (trong phần điều khoản), trong khi đó Cốc Cốc lại tự ý kích hoạt tính năng này.

Điều khoản sử dụng của Google Chrome. Ảnh: TIỂU MINH

Liên quan đến thông tin trên, Cốc Cốc đã chính thức có thông tin phản hồi với báo chí. Theo đó, đại diện truyền thông của Cốc Cốc cho biết để phục vụ cho tính năng kiểm tra chính tả, thêm dấu Cốc Cốc bắt buộc phải gửi những gì người dùng nhập trong các trường văn bản (text field) lên máy chủ.

“Máy chủ sẽ kiểm tra và trả kết quả gợi ý trở lại cho trình duyệt. Tất cả dữ liệu gửi lên là vô danh (anonymous). Cốc Cốc không thể biết chính xác ai đã gửi dữ liệu lên. Các dữ liệu này cũng chỉ được lưu trữ tạm thời để sửa lỗi và cải thiện chất lượng dữ liệu. Đấy là thiết kế bình thường cho bất cứ một dịch vụ trực tuyến (online service) nào”, ông Hiếu Phan cho hay.

Đại diện Cốc Cốc cũng khẳng định tính năng này không hoạt động trong ô nhập liệu mật khẩu của người dùng. “Do vậy, không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc, đồng thời mọi dữ liệu đều được mã hóa”, ông Hiếu cho biết.

Tuy nhiên, một thành viên thuộc diễn đàn Whitehat lại tiếp tục đặt câu hỏi với đại diện Cốc Cốc: “Về nguyên tắc mã hóa, bạn có thể cho biết mã hóa ở đây bạn dùng phương pháp gì? Nếu dùng mã hóa bí mật (không phải mã hóa công khai) thì key mã hóa bạn quản lý, khi đó bạn giải mã lúc nào cũng được, do đó việc mã hóa là vô nghĩa. Thêm nữa, như Google có thông báo rõ, tính năng này chỉ lưu trữ dữ liệu “tạm thời”, không rõ các bạn lưu trữ thông tin này trong bao lâu?”

Hơn nữa, việc Cốc Cốc tự động gửi mọi thứ người dùng nhập vào trình duyệt, bao gồm tên tài khoản, email, ngân hàng… mà không cần hỏi ý thì sẽ như thế nào? Khá nhiều người tỏ ra lo ngại về việc Cốc Cốc âm thầm thu thập dữ liệu, Kỷ Nguyên Số sẽ tiếp tục thông tin về vụ việc.

Blog