Thông Luận

Cơ quan ngôn luận của Tập Hợp Dân Chủ Đa Nguyên

Tại Việt Nam đang xuất hiện cáo buộc từ một số người trong giới công nghệ và bảo mật cho rằng trình duyệt Cốc Cốc tự động tải thông tin người dùng gõ trên bàn phím lên máy chủ (server) của Cốc Cốc.

coc1

Hình ảnh chụp lại video của thành viên trang Whitehat.vn lochv37. Dòng tin nhắn 'chào em' được tải lên server với nội dung y chang không mã hóa (phía bên trái, bôi vàng)

Công ty Cốc Cốc trả lời BBC rằng họ cam kết tuân thủ "các tiêu chuẩn quốc tế tốt nhất về sự riêng tư và đạo đức kinh doanh của người dùng".

Ra đời năm 2013 và đặt trụ sở ở Hà Nội, Cốc Cốc đang là một trong những công cụ tìm kiếm và trình duyệt web phổ biến ở Việt Nam.

Tranh cãi ban đầu là do anh Trần Văn Hòa công bố khi sử dụng ứng dụng Ninja Fast Login Facebook thì thấy thông tin đăng nhập bị tự động tải lên server của Cốc Cốc.

Cốc Cốc nhanh chóng cho đó là một trường hợp cá biệt, vì sự "không tương thích" giữa ứng dụng Ninja Fast Login Facebook với ứng dụng sửa lỗi chính tả mặc định của trình duyệt.

Ông Hòa cũng nói với BBC là thông tin Cốc Cốc lưu dữ liệu Facebook của người dùng là không chính xác nên ông xóa bài viết cũ.

Lỗi bảo mật ?

Nhưng sau đó một số chuyên gia bảo mật lại nói rằng có một vấn đề khác nghiêm trọng hơn, đó là nội dung tin nhắn người dùng gửi trong Facebook dường như tự động bị gửi lên server, mà lại trong tình trạng không mã hóa.

Một video được chia sẻ rộng rãi trên mạng cho thấy, khi dùng phiên bản Cốc Cốc trước hôm 16/4, nội dung tin nhắn không dấu, đã được ứng dụng sửa chính tả của Cốc Cốc sửa thành có dấu, nhưng đồng thời gửi nội dung y chang lên server.

Ngay sau đó, Cốc Cốc cung cấp bản cập nhật mới nhất, cho thấy nội dung tin nhắn không còn bị gửi lên server spell.itim.vn, được cho là server ứng dụng sửa chính tả của Cốc Cốc.

Báo Người Lao Động ngày 17/4 cho hay phiên bản mới nhất được Cốc Cốc phát hành ngày 16/4 thì thông tin dữ liệu người dùng gõ không còn được gửi về server.

Tờ báo đặt giả thiết : "Như vậy, với phiên bản Cốc Cốc phát hành trước ngày 16-4 thì thông tin của người dùng có thể đã được chuyển về cho Cốc Cốc, theo các thành viên Whitehat.vn".

Cốc Cốc trả lời BBC

Ngày 24/4, ông Hiếu Phan, Trưởng nhóm phát triển Trình duyệt Cốc Cốc, chính thức trả lời BBC về nghi ngờ trình duyệt có lỗi bảo mật, tự tải nội dung tin nhắn người dùng lên server spell.itim.vn.

Ông Hiếu Phan khẳng định đây "không phải là một lỗi bảo mật".

Ông giải thích vấn đề này liên quan đến tính năng sửa lỗi chính tả và thêm dấu của trình duyệt Cốc Cốc.

"Tính năng này được Cốc Cốc phát triển với mục đích giúp phát hiện các lỗi chính tả và gợi ý cách sửa cho người dùng, đồng thời hỗ trợ việc thêm dấu khi người dùng viết tiếng Việt không dấu".

"Cụ thể, khi người dùng bình luận trên Facebook hoặc gõ văn bản trên các cửa sổ soạn thảo văn bản trực tuyến, Cốc Cốc sẽ đưa ra gợi ý chính tả. Khi người dùng gõ bằng tiếng Việt không dấu, trình duyệt Cốc Cốc sẽ tự động điền đấu tiếng Việt có dấu với độ chính xác gần 100%".

Ông Hiếu Phan cho biết để phục vụ cho tính năng này, trình duyệt Cốc Cốc "bắt buộc phải gửi những gì người dùng gõ vào các trường văn bản (text field) lên máy chủ".

"Máy chủ sẽ kiểm tra và trả kết quả gợi ý trở lại cho trình duyệt. Tất cả dữ liệu gửi tới Cốc Cốc là dữ liệu là vô danh (anonymous) và Cốc Cốc không thể biết chính xác ai đã gửi dữ liệu này lên".

Ông Hiếu Phan cũng khẳng định các dữ liệu này "chỉ được lưu trữ tạm thời và được xóa bỏ ngay sau khi kết quả gợi ý được trả về cho người dùng".

Đại diện của Cốc Cốc nói thêm rằng "không chính xác" khi cho rằng ở "phiên bản cũ" của trình duyệt Cốc Cốc tính năng này không được bảo mật và mã hoá.

"Các phiên bản trước tháng 12/2017 tính năng này cũng đã được mã hóa đảm bảo bảo mật. Từ tháng 12/2017 Cốc Cốc đã tiếp tục bổ sung thêm một bước mã hoá cho tính năng này".

"Việc bổ sung thêm một bước mã hóa nhằm tăng cường tính bảo mật, đảm bảo thông tin riêng tư của người dùng không bị rò rỉ ngay cả trong trường hợp họ bị tấn công mạng", ông Hiếu Phan nói.

'Chưa xảy ra sự cố'

Theo đại diện Cốc Cốc, liên quan đến thông tin người dùng có hai loại : thông tin chung về hành vi, tương tác của người dùng ở quy mô dữ liệu lớn ; và thông tin cá nhân như định danh, mật khẩu, thẻ ngân hàng.

Ông Hiếu Phan khẳng định Cốc Cốc "không thu thập, lưu trữ các thông tin cá nhân này".

"Trong vụ việc vừa qua đã có sự đánh đồng việc thu thập dữ liệu chung với việc thu thập thông tin cá nhân", ông nói.

"Kể từ khi Cốc Cốc cung cấp dịch vụ kiểm tra chính tả, chưa có bất kì sự cố nào liên quan tới mất mát thông tin của người dùng".

"Sau khi tính năng kiểm tra chính tả đưa ra gợi ý cho người dùng các dữ liệu này sẽ ngay lập tức được xóa bỏ".

"Tất nhiên, khi những thông tin này gửi về máy chủ của Cốc Cốc, người dùng có quyền đặt câu hỏi về việc Cốc Cốc có thể khai thác các thông tin đó hay không".

Ông Hiếu Phan nói : "Chúng tôi một lần nữa khẳng định không thu thập, lưu trữ các thông tin cá nhân của người dùng".

"Cốc Cốc chỉ sử dụng dữ liệu vô danh về hành vi của người dùng trên internet để cải tiến chất lượng dịch vụ như phần lớn các công ty công nghệ thông tin trên toàn thế giới đang thực hiện hiện nay".

Giới chuyên gia phản ứng thế nào ?

Trước khi có phản hồi của Cốc Cốc gửi BBC hôm 24/4, đại diện của Cốc Cốc cũng được một số tờ báo ở Việt Nam dẫn lời giải thích.

Khi đó, đọc những thông tin trên báo này, anh Lê Nam, quản trị nhóm SEM Việt Nam, nơi những nghi vấn đầu tiên về Cốc Cốc nổ ra, chưa được thuyết phục.

Thêm vào đó, anh Nam cho rằng một lỗi khác của Cốc Cốc là cài đặt mặc định ứng dụng kiểm tra chính tả, mà không cho người dùng lựa chọn tắt ứng dụng, hay cho người dùng biết nội dung tin nhắn bị tự động tải lên server.

"Giờ họ nói họ mã hóa nhưng trong tương lại, biết đâu họ mở mã hóa họ xem được", anh Lê Nam nghi ngờ.

coc2

Chuyên gia bảo mật Nguyễn Hồng Phúc

Trong khi đó, chuyên gia bảo mật Nguyễn Hồng Phúc cũng tỏ ra hồ nghi.

"Với nguồn Big Data, khi dữ liệu gửi về sẽ luôn có sự định danh từ một trình duyệt, và có thể kết nối với các dữ liệu khác để kết nối với người dùng. Việc định danh một người dùng trình duyệt nào, số điện thoại thì giờ điều đó quá dễ dàng".

Từ năm 2014, anh Phúc cho biết, diễn đàn giới công nghệ đã có một số cảnh báo về vấn đề bảo mật của trình duyệt Cốc Cốc.

"Vụ việc này không lạ và càng làm thì càng lòi ra thêm", anh Phúc lo lắng.

Cốc Cốc là trình duyệt thiết kế riêng cho thị trường Việt Nam, dựa trên nền tảng mã nguồn mở Chromium.

Trang web Cốc Cốc nói khi so với các mạng quảng cáo online ở Việt Nam, Cốc Cốc là nền tảng quảng cáo "lớn nhất với hơn 22 triệu người dùng".

Published in Việt Nam