Nhận định của Ban quản trị WhiteHat về vụ việc Cốc Cốc

sunny

VIP Members
30/06/2014
869
1.849 bài viết
Nhận định của Ban quản trị WhiteHat về vụ việc Cốc Cốc
coccoc.png

(Ảnh: @lochv37)
Xin chào các bạn,

Trong mấy ngày gần đây có rất nhiều thông tin liên quan đến nghi vấn trình duyệt Web Cốc Cốc lấy thông tin của người dùng và có khá nhiều tranh luận xung quanh sự việc này.

Sau khi tìm hiểu các thông tin liên quan, xuyên suốt vụ việc này có 3 câu hỏi cần đặt ra, Ban quản trị xin chia sẻ nhận định như sau:

(1) Cốc Cốc có cố ý lấy Cookies Facebook từ người dùng không?

Ngày 15/4, thành viên Trần Văn Hòa của Group Facebook SEM Việt Nam kiểm tra request trên máy tính thì thấy Cốc Cốc có gửi lên server đoạn POST, trong đó có chứa cookies tài khoản Facebook vừa đăng nhập lên domain: https://spell.itim.vn (một domain của Công ty TNHH Cốc Cốc), từ đó nghi ngờ là Cốc Cốc cố ý lấy cookies tài khoản Facebook của người dùng. Tuy nhiên sau đó chính thành viên này cũng đã xác nhận, việc gửi cookies từ máy tính của mình lên trên server của Cốc Cốc là do kết hợp giữa việc người dùng chủ động copy cookies vào extension Ninja Fast Login Facebook và việc gửi thông tin lên server của tính năng spell check trên trình duyệt Cốc Cốc.

Như vậy có thể khẳng định Cốc Cốc không chủ động lấy cookies Facebook và gửi về server của mình.

(2) Cốc Cốc có gửi dữ liệu từ trình duyệt về server của mình hay không?

Theo clip mà thành viên lochv37 của WhiteHat đăng tải vào tối ngày 16.4 và thực nghiệm xác minh của BQT:

- Tính năng spell check trên Cốc Cốc ở phiên bản phát hành trước ngày 16.4 có gửi thông tin người dùng gõ trên trình duyệt về server của Cốc Cốc tại https://spell.itim.vn.

- Thông tin gửi về không bao gồm mật khẩu

(3) Cốc Cốc có lưu trữ, sử dụng dữ liệu được gửi về?

Vấn đề này đại diện của Cốc Cốc đã trả lời: “để phục vụ cho tính năng spell checker, Cốc Cốc bắt buộc phải gửi những gì người dùng nhập vào text field lên Server” và “chúng tôi cũng như Google chỉ lưu trữ dữ liệu tạm thời cho mục đích sửa lỗi và cải thiện chất lượng dịch vụ..”

Tuy nhiên, Cốc Cốc có lưu trữ lâu dài và sử dụng cho các mục đích khác hay không thì chúng tôi không có thông tin để khẳng định việc này.

Trên đây là các nhận định từ Ban quản trị WhiteHat, rất mong nhận được thêm đóng góp từ các bạn để có góc nhìn đa chiều trong các vụ việc vừa qua.


BQT WhiteHat Forum
 
Chỉnh sửa lần cuối bởi người điều hành:
nếu xét theo góc độ kinh doanh thì coccoc chả dại mà đụng tới mật khẩu và tài khoảng người dùng. cái họ cần là thói quen người dùng xác định bạn là ai,nam, nữ, khu vực bạn sống, tài chính bạn thế nào, bạn hay mua hàng gì bla bla.... Nhưng củng có thể họ phải nhân nhượng một thế lực nào đó và nếu mình có nguồn lực đủ thì mình không dại mà lấy pass thẳng người dùng. mình có thể từ từ theo dõi sao đó tổng hợp mọi thứ vì email thì công khai rồi chỉ còn pass đủ data thì crack pass 80-90%
Kết luận cá nhân mình: thì coccoc sẽ không dại lấy pass, cookie người dùng từ ô nhập pass, nhưng họ là công ty sống quảng cáo nên chắt chắn họ sẽ lưu lại dữ liệu người dùng, web người dùng họ truy cập vv..
. nói chung nếu nghi không dùng nếu dùng thì nên biết rõ các thứ mình có thể mất mình thì mấy năm rùi không đụng vào vì quảng cáo quá.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Tony Vo
Comment
Việc lấy dữ liệu người dùng để quảng cáo thì không chỉ software mà các website cũng làm.
Không tin bạn có thể vào tiki.vn tìm quyển sách rồi lên vozforums.com hoặc vào một số trang có đặt banners quảng cáo, thể nào cũng sẽ gặp quảng cáo về các cuốn sách bạn vừa lướt trên tiki.vn.
Cách đơn giản nhất là cài một cái Ad Blocker vào trình duyệt, vậy là xong :
1. Nếu mục đích thương mại, ok, bạn không thể làm phiền tôi nữa
2. Nếu mục đích của việc phân tích dữ liệu dùng cho những việc như phân tích xu hướng chính trị, quân sự, phản ứng người dùng,...vv cái này đơn giản là phân tích toàn cục chứ không nhắm vào một cá nhân cụ thể thì cũng không cần lo, lo cũng không tránh được. Bạn có thể cẩn thận trang A, không sài phần mềm B, thì bạn sẽ để lộ khi sài C thôi, bảo mật là một process, không phải một product, cảm thấy trong một quá trình xuyên suốt mà bảo mật được thì bảo mật, còn bảo mật nhất thời là vô dụng.

Cuối cùng thì mọi người có thể nghi kị các software này kia, nhưng lại mù quáng tin vào hardware


=> Kết luận : dân tình nhảy nhô nhảy nhào lên vì một software dính phốt này kia, nhưng lại không biết mình vẫn đang bị chính chiếc máy tính mình sài... :rofl: Những trò lố ;)
 
Comment
ban nao co phan mem http analysis v20. nhu admin demo khong cho minh xin
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cái quan trọng ở phần 3.. Cốc Cốc thừa nhận có lưu trữ dữ liệu người dụng tạm thời..
Cái lưu trữ tạm thời này đi về đâu.. Và ai kiểm soát.. nếu hẳn 1 đội ngũ nhân viên kỹ thuật đảm nhiệm thì cũng k có gì là chắc chắn dữ liệu đó ko bị rò rỉ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cái quan trọng ở phần 3.. Cốc Cốc thừa nhận có lưu trữ dữ liệu người dụng tạm thời..
Cái lưu trữ tạm thời này đi về đâu.. Và ai kiểm soát.. nếu hẳn 1 đội ngũ nhân viên kỹ thuật đảm nhiệm thì cũng k có gì là chắc chắn dữ liệu đó ko bị rò rỉ
Thực tế cũng có nhiều bên lấy dữ liệu nhưng họ không để mặc định như Cốc Cốc và trong điều khoản sử dụng cũng chi tiết hơn.

Vấn đề chỉ còn là ở lòng tin của người dùng, tin thì dùng không tin thì không dùng.

Vụ của bạn nếu muốn kiện cũng nên tìm luật sư tư vấn cho rõ đồng thời bạn nên xem lại thỏa thuận sử dụng của Cốc Cốc.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thực tế cũng có nhiều bên lấy dữ liệu nhưng họ không để mặc định như Cốc Cốc và trong điều khoản sử dụng cũng chi tiết hơn.

Vấn đề chỉ còn là ở lòng tin của người dùng, tin thì dùng không tin thì không dùng.

Vụ của bạn nếu muốn kiện cũng nên tìm luật sư tư vấn cho rõ đồng thời bạn nên xem lại thỏa thuận sử dụng của Cốc Cốc.
vâng thanks Ad
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Từ xưa đến giờ mình vẫn dùng COCCOC, mính không quan tâm nhiều đến vấn đề côccoc có lấy dữ liễu người dùng hay không vì mình chẵng có cái già quan trọng cả. Nhưng mình rất ức chế là nó tự động cài cái addon rungrinh.vn vào (không gỡ được) làm cho mình cảm thấy khó chịu.!
THÔI ĐÀNH NÓI LỜI CHIA TAY COCCOC VẬY! Never use again!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Từ xưa đến giờ mình vẫn dùng COCCOC, mính không quan tâm nhiều đến vấn đề côccoc có lấy dữ liễu người dùng hay không vì mình chẵng có cái già quan trọng cả. Nhưng mình rất ức chế là nó tự động cài cái addon rungrinh.vn vào (không gỡ được) làm cho mình cảm thấy khó chịu.!
THÔI ĐÀNH NÓI LỜI CHIA TAY COCCOC VẬY! Never use again!
Lại gặp nick ảo của bạn Lê Nam trên này =)) vụ này nổi lên mới biết đội seo bẩn là chủ nhân trang mạo danh unikey.org (trang fake là trang unikey.vn)
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Lại gặp nick ảo của bạn Lê Nam trên này =)) vụ này nổi lên mới biết đội seo bẩn là chủ nhân trang mạo danh unikey.org (trang fake là trang unikey.vn)
Vụ liên quan đến SEO mà bạn nhắc đến mình chưa có thông tin.

Còn về trang web mạo danh unikey Ban quản trị cũng đã check qua và thấy phần mềm là an toàn với người dùng: https://whitehat.vn/threads/unikey-khong-chinh-chu-lieu-co-an-toan.9406/
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Vụ liên quan đến SEO mà bạn nhắc đến mình chưa có thông tin.

Còn về trang web mạo danh unikey Ban quản trị cũng đã check qua và thấy phần mềm là an toàn với người dùng: https://whitehat.vn/threads/unikey-khong-chinh-chu-lieu-co-an-toan.9406/

Fake unikey thì có thể thay link hay làm trò gì cũng được, làm con ransomware tống tiền cũng không ai biết, unikey thì dân VN còn dùng nhiều hơn cả cái browser CC.

Cũng như cốc cốc lưu thông tin check chính tả, có đem lưu để mining hay không? Các ông IT là hay có trò đặt pass dài rồi copy/paste nhầm vào text form thì họ có quyền đặt vấn đề là có bị dùng để check chính tả không? =)))))) tất nhiên là việc nghe lén khi dùng https là gần như không thể, mà ông nào bị man-in-middle thì thôi khỏi bàn vì ff, chrome hay tor thì cũng lộ như nhau.

Cá nhân mình không khoái PR cho đội vietmoz này lắm, có vẻ đang có kèo win-win ở đây. Đặt biệt là CC dang release extention gì đó mới, theo thuyết âm mưu.
https://www.facebook.com/groups/semvietnam/permalink/2089992357708344/
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Fake unikey thì có thể thay link hay làm trò gì cũng được, làm con ransomware tống tiền cũng không ai biết, unikey thì dân VN còn dùng nhiều hơn cả cái browser CC.

Cũng như cốc cốc lưu thông tin check chính tả, có đem lưu để mining hay không? Các ông IT là hay có trò đặt pass dài rồi copy/paste nhầm vào text form thì họ có quyền đặt vấn đề là có bị dùng để check chính tả không? =)))))) tất nhiên là việc nghe lén khi dùng https là gần như không thể, mà ông nào bị man-in-middle thì thôi khỏi bàn vì ff, chrome hay tor thì cũng lộ như nhau.

Cá nhân mình không khoái PR cho đội vietmoz này lắm, có vẻ đang có kèo win-win ở đây. Đặt biệt là CC dang release extention gì đó mới, theo thuyết âm mưu.
https://www.facebook.com/groups/semvietnam/permalink/2089992357708344/
Cái này không hẳn gọi là fake mà là team ấy đẩy được SEO tốt nên khi search google trả về site unikey.vn, thứ hai mới là unikey.org. Tạm thời mới kết luận là site ấy chạy quảng cáo để kiếm tiền, chưa cài cắm gì.

Vụ của Cốc Cốc thì mình không muốn nói nữa vì các bạn ấy không trả lời trực tiếp các nghi vấn của cộng đồng, thôi thì để tự cộng đồng đánh giá, quyết định cuối cùng là ở người dùng, WhiteHat chỉ cố gắng phân tích rõ vấn đề nhất có thể.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thời đại này đã lên mạng là không có gì an toàn hết. Bạn dùng Chrome, Google, Facebook...nó cũng đều thu thập dữ liệu của bạn cả. Dùng mấy phần mềm miễn phí nó cũng thu thập (không dưng mà nó miễn phí). Dùng điện thoại nó cũng thu thập đủ thứ tá lả...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình dùng Cốc cốc 1 lần sau đó không dùng nữa vì quảng cáo quá nhiều, sau này mình lại phải chạy quảng cáo trên này thì cái target khách hàng lại khá tốt, mình nghĩ việc thu thập dữ liệu người dùng là chắc chắn có rồi, tuy nhiên, vấn đề này thì ông nào cũng làm thôi. Sau vụ này thì mình có liên lạc với bên đó đề tạm thời dùng quảng cáo thì câu trả lời của bên kia không thoả đáng cho lắm.
Còn lại thì mọi thử hơi bị mơ hồ giữa người dùng với Cốc cốc, chưa rõ ràng lắm.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
cốc cốc coccoc cookies facebook
Bên trên