Thêm bằng chứng cụ thể chứng minh trình duyệt Cốc Cốc đang thu thập dữ liệu người dùng
Khi ngày càng có nhiều tin đồn trái chiều về vấn đề thu thập thông tin người dùng bí mật từ trình duyệt Cốc Cốc, dân tình CNTT đã bắt tay vào chứng minh cho mọi người thấy rõ điều đáng lo ngại nhất về lỗ hổng thông tin này.
Sau vụ việc này, liệu bạn còn "thoải mái" khi lướt Facebook nhanh mà vẫn có nguy cơ bị thu thập thông tin cá nhân không?
Mọi chuyện bắt đầu vào ngày 15/4, khi theo thông tin cung cấp từ Trần Văn Hòa - một thành viên của SEM Việt Nam - thì trình duyệt Cốc Cốc được cho là đã bí mật thu thập thông tin đăng nhập Facebook của người dùng thông qua hệ thống Cookies được nhập vào, sau đó chuyển tới một website ẩn khác. Khi kiểm tra thông tin về website và domain này thì mọi người đều không bất ngờ lắm khi đơn vị sở hữu chính là Công ty TNHH Cốc Cốc.
Nếu bạn chưa biết, Cookie là đoạn dữ liệu được tạo ra để lưu thông tin gồm tài khoản, mật khẩu đăng nhập... trên trình duyệt, giúp các lần truy cập sau đó nhanh hơn. Có nghĩa, bất kỳ ai sở hữu cookie đều có thể đăng nhập vào tài khoản Facebook đã được lưu mà không cần nhập hay biết tên tài khoản và mật khẩu.
Vấn đề này từ lâu vẫn nằm trong "diện tình nghi" của dân CNTT nói chung, cho đến khi người dùng vô tình sử dụng một tiện ích mang tên Ninja Fast Facebook Login. Cụ thể, nếu máy tính người dùng cài tiện ích Ninja Fast Login Facebook để đăng nhập nhanh vào Facebook mà không cần nhập lại tài khoản và mật khẩu, tính năng Spellcheck có sẵn trong Cốc Cốc sẽ sao chép mọi thứ từ clipboard và gửi về máy chủ từ xa để kiểm tra chính tả. Hành động này khiến cookie Facebook vô tình bị Ninja Fast Login Facebook ghi lại và gửi về máy chủ của Cốc Cốc.
Sau khi thông tin được lan rộng ra khắp Facebook, đặc biệt sau vụ bê bối về rò rỉ thông tin từ chính Facebook ở nước ngoài đã khiến tình trạng an ninh mạng trở nên nghiêm trọng hơn, rất nhiều người dùng đã lo lắng về thông tin cá nhân và đặc biệt là tài khoản đăng nhập trên Facebook của mình khi sử dụng trình duyệt Cốc Cốc. Hơn thế nữa, không ít người cũng tuyên bố sẽ xóa thẳng trình duyệt này khỏi hệ thống và trở lại với Chrome.
Tuy nhiên ngay sau đó, tài khoản Trần Văn Hòa đều xác nhận đây là lỗi do tiện ích và không phải do Cốc Cốc thu thập thông tin. Ngay cả trong nội dung trả lời báo chí, ông Hiếu Phan, Trưởng nhóm phát triển Trình duyệt Cốc Cốc cho biết: "Cốc Cốc khẳng định không thu thập thông tin tài khoản Facebook cũng như bất cứ thông tin cá nhân nào của người dùng".
Chuyện tưởng chừng như dừng lại ở đây, nhưng một thành viên khác của SEM có tên Nam Lê đã đăng thẳng lên một video thử nghiệm chứng tỏ rằng không chỉ trình duyệt Cốc Cốc lấy thông tin tài khoản của người dùng mà thậm chí còn ghi lại các bài đăng tải, tin nhắn cá nhân bí mật để gửi lại cùng tới website bí ẩn như trên.
Bạn có thể xem clip cụ thể tại đây:
Nội dung chia sẻ của Nam Lê như sau:
"Cốc Cốc đã thu thập mọi dữ liệu người dùng, kể cả tin nhắn riêng như thế nào?
#SEM #Việt #Nam
Mong các bạn hãy chia sẻ tin này đến với những người dùng Internet tại Việt Nam để hạn chế việc bị mất thông tin riêng tư!
Thành viên của Diễn đàn an ninh mạng WhiteHat đã làm video thử nghiệm trên một phiên bản phát hành trước ngày 16/4 và kết quả thật bất ngờ: Những gì người dùng gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng.
Có thể thấy rõ qua đoạn Video dưới đây thì chắc chắn có thể khẳng định rằng CocCoc đã tự ý lấy dữ liệu người dùng để phục vụ cho một việc gì đó?
Phía bên CocCoc cũng có 1 người lên phản biện nhưng bị thành viên của cộng đồng Comment cho im lặng tại chỗ."
Ở thời điểm hiện tại, lỗi trong Video có vẻ như đã bị Fix nhưng thật may mắn các anh em an ninh mạng whitehat đã kịp thời ghi lại những hình ảnh chân thực và rõ nét.
Dù là lỗi hệ thống, lỗi trình duyệt, lỗi tiện ích addon hay lỗi tầm xàm ba láp gì đó không biết, tuy nhiên lượng thông tin từ trước đến nay được chuyển từ người dùng đến một website nào đó - vì mục đích gì để làm gì - thì chúng ta cũng chẳng thể biết được. Nếu việc thu thập thông tin này đều là do hiểu lầm thì chẳng có gì đáng lo cả, nhưng nếu chính bạn đã bị thu thập từ lúc nào chẳng biết thì giờ phải tính sao đây?
Mọi thứ vẫn còn đang khá mập mờ và khó biết được, tuy nhiên với những rủi ro về rò rỉ thông tin cá nhân hằng ngày như vậy, quyết định đều nằm ở chính người sử dụng.
Bài cùng chuyên mục