Tôi không dùng Cốc Cốc (vì CC chưa có phiên bản cho Ubuntu, may quá he he), nên không có cơ hội kiểm tra lỗi mà cô giáo Nam Lê báo cáo.
Tuy nhiên, xem clip của thành viên lochv37 diễn đàn Whitehat.vn quay lại thì tôi khẳng định Cốc Cốc đã quá sai trong vụ này rồi. Tôi thì không cho rằng Cốc Cốc chủ ý thu thập dữ liệu người dùng như lời lẽ mà cô Nam và các bạn trong cộng đồng SEO/SEM đang cáo buộc, nói Cốc Cốc như vậy có vẻ hơi nặng lời, nhưng hành vi của Cốc Cốc thì… gần như vậy!
Nếu ai không rành kỹ thuật, tôi sẽ cố gắng giải thích cho dễ hiểu thế này:
1- Đầu tiên, một bạn tên Hòa trong quá trình sử dụng CC đã “phát hiện” ra trình duyệt này lấy đoạn mã có chứa thông tin đăng nhập Facebook của bạn (gọi là cookie) để gửi lên một máy chủ tên là itim. Sau đó, bạn đã ngay lập tức la làng và cáo buộc CC ăn cắp dữ liệu người dùng
2- Sau đó, bạn Hòa nhanh chóng nhận ra không phải CC thu thập dữ liệu cookie mà thực ra trong quá trình sử dụng, bạn Hòa đã vô tình copy đoạn cookie này, rồi dán nó vào một ô nhập liệu. Và CC thì thu thập mọi thứ trong ô nhập liệu để gửi lên máy chủ itim nên dẫn đến sự hiểu lầm. Bạn Hòa sau đấy đã xóa bài post và đính chính.
3- Tuy nhiên, cô Nam và một số bạn trong cộng đồng SEM/SEO tiếp tục phân tích thì nhận thấy mọi thông tin mà các cô chat chit trong Facebook cũng được/bị CC thu thập (đương nhiên, vì như tôi đã nói ở trên, cứ cái gì có trong ô nhập liệu sẽ bị thu thập mà)
Dựa trên các dữ liệu này, có thể thấy ngay vấn đề như sau:
1- CC có tính năng “tự động dịch văn bản không dấu sang tiếng Việt có dấu”. Tức là, giả sử bạn gõ vào một chữ “Em o truong doi anh” thì CC sẽ gợi ý câu dịch thành “Em ở trường đợi anh”.
2- Để làm được việc này, ĐƯƠNG NHIÊN CC phải lấy cái câu “Em o truong doi anh” gửi về máy chủ. Máy chủ sẽ xử lý dữ liệu này và trả dữ liệu về CC rằng “Cái câu “Em o truong doi anh” dường như có nghĩa là “Em ở trường đợi anh” nhé”. Khi nhận được kết quả này, CC sẽ gợi ý cho người dùng và ghi điểm.
Tất cả chỉ có như vậy thôi. Và đương nhiên, bất cứ nơi nào mà tính năng “gợi ý” này có mặt thì 100% chu trình chia sẻ dữ liệu như trên được thực thi. Điều đó không ngoại lệ với các nội dung mà mọi người gõ vào ô chat chit trong Facebook, hoặc kể cả Gmail v.v…
Mặc dù không có trình duyệt này trong tay để kiểm chứng, nhưng tôi tin chắc 100% rằng các lập trình viên của CC sẽ không áp dụng quy trình chia sẻ dữ liệu này với các ô nhập liệu mật khẩu của người dùng (vì trước đây khi dùng HĐH Windows và cài CC, thì tôi biết tính năng gợi ý bỏ dấu này không và tất nhiên không thể xuất hiện trong ô nhập mật khẩu).
Thế nên, cố tình lèo lái câu chuyện sang hướng CC chủ ý ăn cắp dữ liệu nhạy cảm của người dùng là hơi ác. Hoặc là thể hiện sự non nớt trong hiểu biết về kỹ thuật và bảo mật. Nhưng chốt lại là, tính năng này có nguy hiểm không? Xin trả lời là có, cực kỳ nguy hiểm. Vì:
1- Người dùng đã không được cảnh báo rằng những nội dung mà họ nhập vào tất cả các ô nhập liệu được gửi lên máy chủ itim
2- Các dữ liệu này đã không được mã hóa trước khi gửi lên máy chủ (CC rất sai ở chỗ này)
3- Vì ý số 2, có thể thấy rằng CC đã quá coi nhẹ việc bảo vệ dữ liệu người dùng. Lỗi này là lỗi quy trình, hoặc lỗi tư duy. Và nếu là lỗi tư duy thì càng nguy hiểm hơn gấp nhiều lần.
4- Người dùng rất… ngu (nói nhẹ hơn là ngây thơ). Họ không phải là các chuyên gia bảo mật, thế nên họ sẽ có tâm lý rằng nội dung chat chit của mình là RIÊNG TƯ, nội dung email của mình là RIÊNG TƯ. Thế thì, họ cứ thoải mái chat qua chat lại, gửi tới gửi lui các thông tin vô thiên lủng, có thể bao gồm cả thông tin nhạy cảm và CC thì lại chẳng giúp người dùng khắc phục cái ngu này.
5- Tất nhiên, như đã nói, CC sẽ không chia sẻ dữ liệu từ ô nhập mật khẩu với máy chủ itim, nhưng mọi thông tin khác, thí dụ tài khoản ngân hàng, mật khẩu OTP v.v… và v.v… nếu được gửi qua chat, thì sẽ được CC chia sẻ cho itim mà không mã hóa. ĐIỀU NÀY CỰC KỲ CỰC KỲ NGUY HIỂM VÌ CC KHÔNG TỰ ĂN CẮP THÌ HACKER CŨNG CÓ THỂ DÒM NGÓ.
Kết luận:
1- Cốc Cốc THỰC SỰ chia sẻ dữ liệu người dùng với máy chủ itim và dữ liệu đã KHÔNG ĐƯỢC MÃ HÓA trước khi gửi đi. Việc này rất nguy hiểm.
2- Cốc Cốc đã không thẳng thắn nhìn nhận vấn đề này, thay vào đó lại vớ ngay câu chuyện bạn Hòa trên kia phân tích sai để nói rằng MỌI CÁO BUỘC đều sai. Cái này gọi là cả vú lấp miệng em và nghĩ rằng cả làng đều ngu. Ghét thế, ghét cái thái độ ấy, hihi.
3- Có nên gỡ Cốc Cốc không? Tôi không cài nên không cần gỡ. Nếu tôi có cài thì tôi cũng không gỡ, vì chỉ dùng nó để tải nhạc chùa phim chùa thôi. Còn với các thao tác quan trọng thì thôi, không sử dụng trên Cốc Cốc vì tư duy và quy trình bảo mật non nớt thế thì nguy hiểm lắm.
Cô giáo xin hết ạ!
Nguồn: Facebook Nguyễn Ngọc Long