Nghi án trình duyệt Cốc Cốc lấy cắp thông tin người dùng

Việc trình duyệt Cốc Cốc bị tố bí mật thu thập thông tin người dùng đang là chủ đề nhận được rất nhiều sự quan tâm.


Bắt nguồn từ Facebook với nghi vấn rằng trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook người dùng, nơi Cốc Cốc gửi các thông tin có chứa cookies tài khoản vừa đăng nhập lên domain https://spell.itim.vn. Theo ghi nhận, đây là domain do Công ty TNHH Cốc Cốc làm chủ quản, và cookies đăng nhập chính là tài khoản Facebook dẫn đến những lo ngại dữ liệu của mình bị lọt ra ngoài nếu sử dụng Cốc Cốc.


nghi an trinh duyet coc coc thu thap thong tin nguoi dung hinh anh 1

Cốc Cốc đang là trình duyệt được sử dụng phổ biến tại Việt Nam.


Ngay sau khi thông tin được đăng tải, đại diện Cốc Cốc cho biết nguyên nhân xuất phát từ hai vấn đề do người dùng sử dụng add-on Ninja Fast Login Facebook giúp đơn giản hóa việc đăng nhập Facebook hoặc tính năng kiểm tra lỗi chính tả Spell Check của Cốc Cốc. Vì vậy, công ty khuyến cáo người dùng không sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả cho tới khi vấn đề được giải quyết.


Tuy nhiên, theo cộng đồng an ninh mạng WhiteHat.vn nhận định, câu trả lời từ Cốc Cốc chưa thuyết phục, đặc biệt là có hay không chuyện Cốc Cốc lấy thông tin cookies Facebook của người dùng, cũng như Spell Check có gửi mọi thông tin của người dùng về cho Cốc Cốc hay không?


Ở trường hợp đầu tiên, thành viên mang tên lockv37 cho rằng “Không”. Tuy nhiên ở trường hợp thứ hai, tính năng Spell Check được cho là “Có”. Để minh chứng điều thứ hai, lockv37 đã so sánh 2 phiên bản của Cốc Cốc trước ngày 16/4 với bản mới phát hành ngày 16/4/2018. Kết quả là, bản đầu tiên server công ty ghi nhận tất cả những gì mà người dùng gõ vào Cốc Cốc, trong khi bản mới nhất điều này đã không còn xảy ra.


nghi an trinh duyet coc coc thu thap thong tin nguoi dung hinh anh 2

Tính năng kiểm tra chính tả của Cốc Cốc được cho là bắt nguồn từ việc thu thập dữ liệu người dùng?


Nhưng theo lý giải từ ông Trần Quang Chiến - CEO Công ty an toàn thông tin CyStack, nhiều khả năng điều này xuất phát từ đặc tính của Spell Check, vốn yêu cầu gửi dữ liệu mà người dùng gõ trên trình duyệt lên một hệ thống kiểm tra chính tả trước khi trả về kết quả đến người dùng. Đây thực sự là một tính năng hữu ích, nhưng nếu người dùng nhập các thông tin nhạy cảm thì nó lại mở ra vấn đề an ninh nhạy cảm.


Bản thân đại diện truyền thông Cốc Cốc cũng thừa nhận yêu cầu mà người dùng nhập vào trường văn bản sẽ được gửi lên server. Vị này khẳng định các dữ liệu gửi lên đây đều vô danh và Cốc Cốc không thể biết chính xác ai đã gửi nó. Quan trọng hơn, nó chỉ được lưu trữ tạm thời để sửa lỗi - một thiết kế bình thường cho bất kỳ dịch vụ trực tuyến nào - và sẽ không làm việc với ô nhập mật khẩu của người dùng cũng như được mã hóa để bảo đảm an toàn.


nghi an trinh duyet coc coc thu thap thong tin nguoi dung hinh anh 3

Cốc Cốc được tích hợp bên trong rất nhiều tính năng.


Vấn đề đặt ra là, mặc dù Chrome cũng có tính năng tương tự Spell Check nhưng nó được tắt đi theo mặc định, trong khi với Cốc Cốc thì người dùng được kích hoạt mà không có thông báo rõ ràng. Và càng thắc mắc hơn khi mà sau khi thông tin được phát hiện, tại sao Cốc Cốc đã cập nhật phiên bản mới của trình duyệt với tính năng Spell Check bị vô hiệu hóa?


Vụ kiện mới nhất trong cuộc “chiến” không ngừng về bằng sáng chế lại tiếp tục xảy ra với Samsung. Công ty công nghệ “khổng lồ” của Hàn Quốc bị PACid Technologies – một công ty mã hóa dữ liệu của Mỹ kiện tại một phiên tòa ở Bang Texas. Theo nguồn tin, Samsung đã vi phạm ba bằng sáng chế về mã hóa dữ liệu sinh trắc học. Phía nguyên đơn yêu cầu công ty này bồi thường thiệt hại lên tới 2,82 tỷ USD dựa trên doanh số bán hàng của tất cả các smartphone vi phạm từ năm 2016.


samsung vi pham bang ban quyen sinh trac hoc hinh anh 1

Cặp Galaxy S6/ Galaxy S7/ Galaxy S8 đều vi phạm bằng sáng chế về sinh trắc học.


PACid Technologies tuyên bố hầu hết các mẫu smartphone cao cấp của Samsung, bao gồm Galaxy S6/ Galaxy S6 Edge, Galaxy S7/ Galaxy S7 Edge, Galaxy S8/ Galaxy S8+ đều được trang bị phần mềm chạy các phương pháp mã hóa dữ liệu vi phạm, bao gồm hệ thống điều khiển sinh trắc học Pass và nền tảng an ninh Knox. Số tiền 2,82 tỷ USD tương đương với khoản bồi thường 3 USD cho mỗi điện thoại thông minh được bán.


Đại diện của Samsung Electronics đã đưa ra trả lời trước giới truyền thông Hàn Quốc: công ty đang “lên kế hoạch tìm kiếm các biện pháp đối phó sau khi PACid đưa ra tuyên bố.” Samsung hiện đang dẫn đầu Hiệp hội công nghiệp FIDO Alliance với mục đích phát triển các công nghệ xác thực chuẩn, bao gồm sinh trắc học. Sau Samsung, rất nhiều vụ kiện tương tự có thể diễn ra đối với các công ty thành viên khác như LG Electronics, Google và Amazon.


Theo Kiến Tường/ Danviet.vn


Cùng xem clip mẹo vui công nghệ:

04:25 17/04/2018Công nghệ

Tin mới cập nhật

Có thể bạn quan tâm