Tóm tắt sự việc
Ngày 15/4, anh Trần Văn Hòa, một thành viên của group SEM Việt Nam, do nghi ngờ Cốc Cốc thu thập thông tin người dùng, đã thực nghiệm bằng cách bật phần mềm kiểm tra request trên máy tính thì thấy Cốc Cốc có gửi lên server đoạn POST trong đó có chứa cookies tài khoản vừa đăng nhập lên tên miền https://spell.itim.vn; Kiểm tra tên miền thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc và cookies đăng nhập chính là tài khoản Facebook.
Điều này khiến dư luận lo ngại Cốc Cốc lấy cookies chứa thông tin đăng nhập Facebook của người dùng.
Tuy nhiên anh Trần Văn Hoà sau đó có kiểm tra lại và đính chính rằng: Cốc Cốc không gửi cookies của người dùng lên server.
Do anh Hoà tự viết một tiện ích (addon) có tên "Ninja fast login facebook" để ghi đè cookies vào trình duyệt nhằm cho phép đăng nhập tài khoản Facebook nhanh bằng cookies.
Trong khi đó, Cốc Cốc có tính năng kiểm tra chính tả đối với các nội dung mà người dùng gõ trên trình duyệt nhằm sửa lỗi, thêm dấu và tăng tốc độ gõ cho người dùng.
Anh Hoà phát hiện ra rằng, khi người dùng copy bất kì nội dung gì và click vào addon thì Cốc Cốc đều gửi lên server, còn copy thông thường thì không thấy.
Khi thực hiện thực nghiệm, anh Hoà đã copy đoạn cookies đăng nhập tài khoản Facebook và tính năng kiểm tra chính tả của Cốc Cốc đã gửi nội dung copy đó (được lưu trong bộ đệm clipboard của máy tính và được kích hoạt bởi addon Ninja) lên server để kiểm tra chính tả, dẫn tới hiểu lầm rằng Cốc Cốc gửi cookies thông tin đăng nhập của người dùng lên server.
Anh Trần Văn Hòa giải thích nguyên nhân Cốc Cốc vô tình gửi thông tin đăng nhập lên máy chủ
Phản hồi về việc này, ông Hiếu Phan, Trưởng nhóm phát triển Trình duyệt Cốc Cốc, khẳng định không thu thập thông tin tài khoản Facebook cũng như bất cứ thông tin cá nhân nào của người dùng.
Việc này theo ông Hiếu chỉ là một sự hiểu nhầm: Extension Ninja Fast Login Facebook sử dụng một mẹo để lấy dữ liệu từ clipboard, đó là thực hiện lệnh paste (dán đoạn văn bản vừa copy) vào một text field (ô trống dùng để gõ văn bản) ẩn.
Tính năng kiểm tra chính tả của Cốc Cốc đã được chạy trên text field đó nên vô tình gửi cookies mà anh Hoà đã copy lên.
"Cốc Cốc không cố tình làm điều đó. Tuy nhiên, việc để spell checker chạy trên một text field ẩn là một bug (lỗi) của Cốc Cốc. Chúng tôi sẽ fix (vá lỗi) trong bản release (phát hành) tới" – ông Hiếu viết trong một trả lời trên diễn đàn Whitehat.vn.
Cốc Cốc cũng khuyến cáo người dùng không nên sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.
Như vậy, có thể thấy tuy kết luận ban đầu của anh Hòa không đúng, nhưng phát hiện của anh cho thấy một lỗi của trình duyệt Cốc Cốc mà nếu lỗi này bị lạm dụng thì có thể gây lộ lọt dữ liệu cá nhân của người dùng.
Lo ngại khác: tính năng spell check của Cốc Cốc gửi mọi thông tin của người dùng về máy chủ
Ngay sau khi có nghi vấn về việc Cốc Cốc lấy cookies tài khoản Facebook của người dùng, thành viên lochv37 của diễn đàn Whitehat.vn đã thực hiện một thử nghiệm khác, để trả lời 2 câu hỏi:
(1) Cốc Cốc có lấy cookies Facebook của người dùng?
(2) Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?
Kết quả thực nghiệm cho thấy, câu trả lời cho câu hỏi thứ nhất là KHÔNG!, đúng như phân tích ở trên.
Tuy nhiên, câu trả lời cho câu hỏi thứ hai là CÓ!
Thử nghiệm trên một phiên bản phát hành trước ngày 16/4, thành viên lochv37 nhận thấy mọi thông tin gõ vào trình duyệt đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng với bạn bè trong cửa sổ chat của Facebook.
Điều này tiếp tục gây lo ngại cho người dùng, khi mà mọi thứ người dùng gõ trên trình duyệt (email, chat, các bình luận trên mạng xã hội, bình luận trên các website, hoặc bất kỳ thông tin gõ dạng text khác trên các cửa sổ soạn thảo văn bản trực tuyến…) đều được gửi lên máy chủ Cốc Cốc – theo như video thì hoàn toàn không được mã hoá.
Về việc này, ông Hiếu Phan trả lời: "Để phục vụ cho tính năng spell checker, chúng tôi bắt buộc phải gửi những gì bạn nhập vào text field lên server. Server sẽ kiểm tra và trả kết quả gợi ý trở lại cho trình duyệt.
Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi dữ liệu lên. Các dữ liệu này cũng chỉ được lưu trữ tạm thời để sửa lỗi và cải thiện chất lượng dữ liệu. Đấy là thiết kế bình thường cho bất cứ một dịch vụ trực tuyến (online service) nào".
Ông Hiếu Phan cho rằng "Google cũng thiết kế tính năng spell checker như vậy. Tuy nhiên chúng tôi biết đây là dữ liệu nhạy cảm, do đó từ bản 68 (released vào tháng 12/2017), chúng tôi đã tiến hành mã hoá nó. Điều này khiến dữ liệu của bạn được bảo đảm hơn bao giờ hết".
Đại diện Cốc Cốc cũng khẳng định tính năng này không hoạt động trên ô nhập liệu mật khẩu của người dùng, do vậy không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc.
Phản biện lại trả lời của ông Hiếu Phan, thành viên Putin của diễn đàn Whitehat.vn tiếp tục chỉ ra những băn khoăn khác:
Đúng là Google cũng có tính năng kiểm tra chính tả, tuy nhiên Google mặc định disable (tắt) tính năng này đi, người dùng phải chủ động bật lên, còn Cốc Cốc thì mặc định enable (bật) lên, người dùng phải chủ động tắt đi.
Điều khoản của Google nói rõ: Tính năng gợi ý sửa lỗi chính tả được mặc định ở trạng thái tắt. Ảnh: Putin (Whitehat.vn)
Trước thực tế là hầu như người dùng không biết hoặc không để ý tới các tính năng ẩn của trình duyệt thì việc trình duyệt tự động bật các tính năng có thể gây hại cho người dùng mà không được phép của họ thì rõ ràng là một sự vi phạm quyền riêng tư.
Khi gõ email hay nhắn tin với bạn bè, người dùng chỉ nghĩ họ đang gửi thông tin lên Facebook hay Google, hoàn không hay biết những gì họ gõ ra đều đã được gửi về máy chủ của một bên thứ ba là Cốc Cốc - điều quá nguy hiểm và không được phép.
Thành viên Putin cũng đặt ra vấn đề về việc mã hoá dữ liệu của Cốc Cốc: nếu Cốc Cốc mã hoá dữ liệu nhưng sử dụng một khoá bí mật (private key) để giải mã thì việc mã hoá này là vô nghĩa.
Thành viên deamoncute cho rằng, dù Cốc Cốc cam kết dữ liệu của người dùng an toàn, không bị lọt ra ngoài và Cốc Cốc không bán hay chia sẻ cho bất kì bên thứ ba nào, nhưng điều đó không đảm bảo dữ liệu không thể bị khai thác bởi "một bạn nhân viên xấu tính hoặc một lỗ hổng nào đó có thể mang theo toàn bộ user data đi".
Ngoài ra, còn một nghi vấn nữa, đại diện Cốc Cốc nói thời gian lưu trữ dữ liệu chỉ là tạm thời nhưng không nói rõ lưu trữ trong bao lâu, bởi thực tế nếu để kiểm tra chính tả thì ngay khi check xong là có thể xoá dữ liệu mà không cần lưu.
Hiện tại, theo thành viên diễn đàn Whitehat.vn, phiên bản Cốc Cốc hiện tại đã được sửa chữa, không còn gửi thông tin người dùng về server nữa.
Tuy nhiên, điều này không đảm bảo rằng hơn 20 triệu người dùng Cốc Cốc sẽ không bị lộ thông tin, vì những ai đang sử dụng phiên bản cũ của Cốc Cốc sẽ vẫn gặp tình trạng dữ liệu bị gửi về server.
Sau scandal lộ lọt dữ liệu người dùng của Facebook, sự việc với Cốc Cốc lại thêm một lần nữa cho thấy nguy cơ mất an toàn dữ liệu của người dùng có thể đến từ bất kỳ đâu.
Người dùng Internet cần hết sức thận trọng khi cấp quyền cho các trình duyệt, các ứng dụng truy cập vào dữ liệu trên điện thoại, máy tính của mình.
Bản thân các nhà phát triển cũng cần thận trọng trong việc bật sẵn các tính năng có thể thu thập, lưu trữ thông tin của người dùng, vì cho dù dữ liệu không bị sử dụng vào mục đích xấu nhưng người dùng hoàn toàn có quyền nghi ngờ sự an toàn dữ liệu của họ khi mà dữ liệu đó được thu thập một cách lén lút, thiếu minh bạch, chưa được phép.