Nghi vấn lấy thông tin người dùng từ Cốc Cốc
Từ tối ngày 15/4, cộng đồng người dùng Facebook trong nước xuất hiện thông tin nghi vấn "trình duyệt Cốc Cốc thu thập cookies tài khoản Facebook của người dùng". Theo đó, nhóm Facebook SEM Việt Nam cho hay khi bật phần mềm kiểm tra trên máy tính thì thấy Cốc Cốc có gửi lên server thông tin có chứa cookies tài khoản vừa đăng nhập lên domain: https://spell.itim.vn
Ngoài ra, tính năng spell check (kiểm tra lỗi chính tả) của Cốc Cốc đã gửi mọi thông tin của người dùng về cho nhà phát triển trình duyệt. Cụ thể, với phiên bản phát hành trước ngày 16/4, những gì người dùng gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc, kể cả tin nhắn riêng. Các phiên bản mới nhất phát hành ngày 16/4 thì không còn tình trạng này nữa.
Ngay sau đó, Hiếu Phan, Trưởng nhóm phát triển Trình duyệt Cốc Cốc khẳng định Cốc Cốc không thu thập thông tin tài khoản Facebook cũng như bất cứ thông tin cá nhân nào của người dùng. Cốc Cốc có thu thập cookie trên các trang Web dịch vụ của Cốc Cốc (như coccoc.com, map.coccoc.com...) để cải thiện chất lượng dịch vụ của mình.
Hiện tại việc thu thập cookie được hầu hết các website thực hiện, đặc biệt là những website có khối lượng dữ liệu lớn, có yêu cầu đăng ký thành viên.
Hơn nữa, để phục vụ cho tính năng kiểm tra lỗi chính tả, Trưởng nhóm phát triển của Cốc Cốc cho rằng họ bắt buộc phải gửi những gì người dùng nhập vào để chuyển lên server. Server sẽ kiểm tra và trả kết quả gợi ý trở lại cho người dùng.
"Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi dữ liệu lên. Đấy là thiết kế bình thường cho một dịch vụ online, và Google cũng đã thết kế tính năng tương tự như vậy".
Ông Hiếu Phan cũng cho biết, phía Cốc Cốc nhận định đây là dữ liệu nhạy cảm, do đó từ bản 68 (được đưa vào sử dụng từ tháng 12/2017), phioas Cốc Cốc đã tiến hành mã hoá, khiến dữ liệu của người dùng được bảo đảm hơn bao giờ hết.
Bật tính năng khi người dùng chưa cho phép: Cốc Cốc đã sai?
Phản biện lại với giải thích từ phía Cốc Cốc, các thành viên thuộc Cộng đồng An ninh mạng cho rằng tính năng của Google chỉ được bật lên khi người dùng cho phép, trong khi Cốc Cốc để tính năng chạy tự động, không khuyến cáo người dùng và người dùng phải chủ động tắt đi khi phát hiện ra.
Trong cam kết sử dụng của Google, tính năng lưu trữ dấu vết của người dùng chỉ được thực hiện "tạm thời", nhưng Cốc Cốc chưa chỉ ra được cách thức lưu trữ dữ liệu của mình. Việc xử lý một cách âm thầm của nhà quản lý trình duyệt Cốc Cốc cũng được cho là không rõ ràng khi thiếu những thông báo cần thiết tới người dùng đại chúng.
Trả lời câu hỏi này, ông Hiếu Phan cho biết tiến trình giải mã là bắt buộc. " Để có thể đưa ra gợi ý cho người dùng, chúng tôi bắt buộc phải giải mã nội dung. Điều này cũng hết sức bình thường. Chúng tôi cũng như Google chỉ lưu trữ dữ liệu tạm thời cho mục đích sửa lỗi và cải thiện chất lượng dịch vụ".
Bị đặt câu hỏi có thể sẽ lợi dụng thông tin người dùng để bán cho một bên thứ ba như cách Facebook và Cambrige Anatica đã thực hiện, vị này khẳng định "cam kết dữ liệu của người dùng an toàn, không bị lọt ra ngoài và Cốc Cốc không bán hay chia sẻ cho bất kì bên thứ 3 nào".
Buộc xóa Cốc Cốc để tránh hậu quả không lường trước được
Trong khi những tranh cãi về việc trình duyệt Cốc Cốc có hay không thu thập thông tin người dùng chỉ được các bên trao đổi trong một diễn đàn, thì nhiều người dùng đành chấp nhận xóa trình duyệt này trong máy tính để tránh hậu quả.
Nhiều công ty, doanh nghiệp đã yêu cầu nhân viên gỡ bỏ toàn bộ trình duyệt này tại máy tính ở công ty và tại nhà, với khuyến cáo "Cốc Cốc đang có biểu hiện thu thập dữ liệu người dùng", nên cần "tránh các hậy quả không lường trước được".
Một thành viên của ban quản trị White Hat cũng cho rằng việc minh bạch trong việc cung cấp dịch vụ internet cần phải được thể hiện bằng những thông tin rõ ràng về dịch vụ; cung cấp cho người dùng những lựa chọn khác nhau trong việc sử dụng phần mềm/dịch vụ kèm khuyến cáo rõ ràng.
"Ngược lại nó sẽ trở thành lợi dụng. Và khi là lợi dụng thì sẽ không còn win-win nữa, người dùng sẽ quay lưng lại với sản phẩm/dịch vụ không an toàn".