Nhiều người Việt khá lo lắng về việc lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc.

Như ICTnews đã thông tin, từ tối ngày 15/4, cộng đồng người dùng Facebook trong nước xuất hiện thông tin nghi vấn “trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng”. Cụ thể, liên quan đến thông tin gây bất ngờ này, nhóm Facebook SEM Việt Nam cho hay khi bật phần mềm kiểm tra trên máy tính thì thấy Cốc Cốc có gửi lên server thông tin có chứa cookies tài khoản vừa đăng nhập lên domain: https://spell.itim.vn
Cũng theo nguồn tin cáo buộc này, khi check domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc và cookies đăng nhập chính là tài khoản Facebook. Ngay sau khi thông tin trên đăng tải, thực tế đã làm cho người dùng Facebook trong nước lo lắng về việc bị lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc.
Về việc này, chiều qua, ngày 16/4/2018, trong thông tin phản hồi với báo chí, phía Cốc Cốc đã thông tin rằng lỗi trên là kết hợp cả 2 phía: do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.
Cốc Cốc cũng khuyến cáo người dùng không nên sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.
Tuy nhiên, trong bài viết đăng tải tối qua trên Diễn đàn an ninh mạng Việt Nam WhiteHat.vn, thành viên lockv37 của Diễn đàn này cho rằng câu trả lời của Cốc Cốc chưa thực sự thuyết phục và vẫn còn khá nhiều câu hỏi được đặt ra: thứ nhất, Cốc Cốc có lấy cookies Facebook của người dùng? Thứ hai, tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?
“Câu trả lời cho câu hỏi thứ nhất là “Không!” Như Cốc Cốc đã thông tin, lỗi này là do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc”, thành viên lockv37 của Diễn đàn WhiteHat.vn lý giải.
Đáng chú ý, với câu hỏi: “Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?”, thành viên lockv37 khẳng định câu trả lời là “Có”. Minh chứng cho nhận định này, thành viên lockv37 đã thực hiện video so sánh 2 phiên bản của Cốc Cốc trước ngày 16/4 với bản mới phát hành ngày 16/4/2018. Kết quả thử nghiệm cho thấy, trên một phiên bản phát hành trước ngày 16/4, tất cả những gì người dùng gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng. Còn với phiên bản mới nhất được Cốc Cốc phát hành ngày 16/4 thì thông tin dữ liệu người dùng gõ không còn được gửi về server Cốc Cốc. 

Nhận định về vụ việc này, ông Trần Quang Chiến – CEO Công ty an toàn thông tin CyStack cho biết thêm, spell check là tính năng của trình duyệt Cốc Cốc để tự động hoàn thiện câu và kiểm tra chính tả cho người dùng trình duyệt Cốc Cốc. Có thể do giới hạn nào đó hoặc để đảm bảo hiệu năng thì Cốc Cốc sẽ tính toán ở một nơi khác, họ gửi các dữ liệu mà người dùng gõ trên trình duyệt đến một hệ thống tính toán khác rồi trả lại kết quả trên trình duyệt cho người dùng.
“Tính năng này khá hữu ích cho người dùng. Tuy nhiên dữ liệu người dùng nhập vào trình duyệt có thể bao gồm các thông tin nhạy cảm như: các tin nhắn riêng tư, username, email… Với các tính năng như thế này, tôi cho rằng Cốc Cốc nên có phương án nào đó để không phải gửi các dữ liệu nhạy cảm của người dùng đến nơi khác. Ví dụ như xử lý ngay tại trình duyệt hoặc kết hợp cả trình duyệt và máy chủ dịch vụ của Cốc Cốc”, ông Chiến nêu quan điểm.

Liên quan đến thông tin thành viên Diễn đàn WhiteHat.vn cho rằng nội dung người dùng gõ trên trình duyệt Cốc Cốc đều được gửi về máy chủ của Cốc Cốc, chiều nay, ngày 17/4, Cốc Cốc đã chính thức có thông tin phản hồi với báo chí.
Theo đó, đại diện truyền thông của Cốc Cốc cho biết, về vấn đề nêu trên, ông Hiếu Phan, Trưởng nhóm phát triển trình duyệt Cốc Cốc cho biết để phục vụ cho tính năng kiểm tra chính tả, thêm dấu Cốc Cốc bắt buộc phải gửi những gì người dùng vào các trường văn bản (text field) lên máy chủ. 
“Máy chủ sẽ kiểm tra và trả kết quả gợi ý trở lại cho trình duyệt. Tất cả dữ liệu gửi lên là vô danh (anonymous). Cốc Cốc không thể biết chính xác ai đã gửi dữ liệu lên. Các dữ liệu này cũng chỉ được lưu trữ tạm thời để sửa lỗi và cải thiện chất lượng dữ liệu. Đấy là thiết kế bình thường cho bất cứ một dịch vụ trực tuyến (online service) nào”, ông Hiếu Phan cho hay.
Đại diện Cốc Cốc cũng khẳng định tính năng này không hoạt động ô nhập liệu mật khẩu của người dùng. “Do vậy không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc”, ông Hiếu cho biết. Cũng theo ông Hiếu tất cả các dữ liệu này đều được mã hoá nên dữ liệu của người dùng hoàn toàn được đảm bảo.
Giải thích thêm về tính năng kiểm tra chính tả, đại diện Cốc Cốc cho biết đây là tính năng giúp người dùng tăng hiệu quả gõ văn bản trên môi trường mạng.

Khi người dùng trình duyệt Cốc Cốc bình luận trên một trang báo điện tử hoặc trên Facebook trình duyệt sẽ phát hiện những lỗi chính tả và gợi ý giúp người dùng sửa lỗi.

Cũng theo đại diện Cốc Cốc, khi người dùng bình luận trên Facebook hoặc gõ văn bản trên bất cứ cửa sổ soạn thảo văn bản trực tuyến nào bằng tiếng Việt không dấu, trình duyệt Cốc Cốc sẽ tự động điền đấu tiếng Việt có dấu với độ chính xác gần 100%. Tính năng này ước tính sẽ giúp giảm bớt 20% thời gian gõ văn bản.  “Ngoài ra, tính năng này cũng cho phép phát hiện những lỗi chính tả và đưa ra gợi ý sửa lỗi giúp người dùng có được văn bản tốt nhất”, đại diện Cốc Cốc cho biết.
Dù vậy, những lý giải của đại diện Cốc Cốc hiện vẫn chưa thực sự thuyết phục được các thành viên WhiteHat.vn. Cụ thể, về ý kiến khẳng định của đại diện Cốc Cốc cho rằng tính năng spell check trên Cốc Cốc “không hoạt động ô nhập liệu mật khẩu của người dùng, do vậy không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc. Tất cả các dữ liệu này đều được mã hóa nên dữ liệu của người dùng được đảm bảo”, một thành viên kỳ cựu của Diễn đàn WhiteHat.vn nhận định. Vấn đề đặt ra là Cốc Cốc không gửi về thông tin mật khẩu hoặc chuỗi chỉ gồm có số. Tuy nhiên, ngoài 2 cái đó ra thì Cốc Cốc có gửi những thông tin khác về, miễn là người dùng gõ trên trình duyệt, bao gồm chat, email…

Ảnh: tính năng Spell Check của Google Chrome được mặc định tắt (chrome://settings/?search=spell)

“Và vấn đề lớn nhất là tính năng Spell Check, Google Chrome cũng có nhưng mặc định tắt đi, còn Cốc Cốc thì bật mặc định nhưng không thông báo tường minh cho người sử dụng, về nguyên tắc dữ liệu riêng tư là không đúng. Và nếu Cốc Cốc cho rằng việc gửi thông tin về là đúng và không có vấn đề gì, vậy tại sao phiên bản mới nhất ngày 16/4 lại phải tắt tính năng này đi?”, thành viên Diễn đàn WhiteHat.vn nhấn mạnh.
ICTnews sẽ tiếp tục cập nhật thông tin về vụ việc này tới độc giả.

M.T