Cốc Cốc lên truyền hình thừa nhận thu thập dữ liệu

Thảo luận trong 'Thảo luận chung' bắt đầu bởi lochv37, 19/04/18, 03:04 PM.

  1. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 36
    Đã được thích: 23
    Điểm thành tích:
    8
    Đã ai nghe phản hồi của Cốc Cốc trên truyền hình chưa? Nếu chưa, thì link đây này http://vtv.vn/video/tai-chinh-kinh-doanh-toi-18-4-2018-293769.htm.

    Xem xong, mình chỉ thắc mắc ông Phó giám đốc của Cốc Cốc có hiểu gì về kỹ thuật hay không, hay là ông ấy đã xem video: Cốc Cốc lấy thông tin như thế nào? mà mình làm chưa nữa.

    Thứ nhất, Cốc Cốc nói mình không bắt gói tin gửi đi mà bắt dữ liệu đang có trên máy vì dữ liệu gửi đi đã được mã hóa? Vậy việc mã hóa có quan trọng không? Bản chất mã hóa ở đây là gì?

    Mình xin nói rõ, việc mã của Cốc Cốc chỉ để tránh việc dữ liệu của người dùng có thể bị nghe lén trên đường truyền. Và mã hóa bằng https. Https thì không thể đọc được??? Không biết có ai cùng ý nghĩ với ông Sếp phó này không?

    Cốc Cốc là người mã hóa, là người cầm key giải mã và muốn giải mã lúc nào chẳng được?

    Cốc Cốc nghĩ mình làm như thế này:

    CocCocCoc_01.png
    Thực tế mình làm như thế này:
    CocCocCoc_02.png
    Thứ hai, tại sao demo của Cốc Cốc cho phóng viên thì thấy dữ liệu bị mã hóa, còn trong video của mình thì lại thấy dữ liệu ở dạng bản rõ?

    Như mình đã giải thích ở trên, dữ liệu đã được mã hóa bằng https. Vậy tại sao mình lại đọc được dữ liệu ở dạng bạn rõ? Vì mình có sử dụng một số kỹ thuật tấn công mạng khá đơn giản.

    Mà thực ra thì cái này cũng không quan trọng, quan trọng là ông Phó giám đốc đã thừa nhận là Cốc Cốc thu thập mọi thứ mà người dùng gõ trên trình duyệt (trừ password...) và điều gì có thể xảy ra khi một nhân viên nào đấy táy máy hoặc ngay chính Cốc Cốc bị hack?
    CocCocCoc_05.png

    Trong điều khoản sử dụng của coccoc có ghi rõ:
    [​IMG]

    Từ ông Phó giám đốc, mình tự hỏi Cốc Cốc có hiểu gì về security? Dữ liệu của hàng triệu người dùng liệu có được an toàn với đội ngũ này?
     
    Chỉnh sửa cuối: 19/04/18, 03:04 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    maldet, trungndm and HustReMw like this.
  2. trungndm

    trungndm VIP Members

    Tham gia: 24/08/16, 09:08 PM
    Bài viết: 7
    Đã được thích: 6
    Điểm thành tích:
    3
    Giới thiệu "kỹ thuật tấn công mạng khá đơn giản" đi bạn :)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    lochv37 thích bài này.
  3. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 36
    Đã được thích: 23
    Điểm thành tích:
    8
    Kỹ thuật để hack, không phải để thể hiện
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. trungndm

    trungndm VIP Members

    Tham gia: 24/08/16, 09:08 PM
    Bài viết: 7
    Đã được thích: 6
    Điểm thành tích:
    3
    chia sẻ cho tôi học học với đi ông
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 36
    Đã được thích: 23
    Điểm thành tích:
    8
    anh bạn pm tôi nhé
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 12
    Đã được thích: 10
    Điểm thành tích:
    3
    ý của Cốc Cốc là data truyền đi được mã hóa nên chỉ mình Cốc Cốc lấy được dữ liệu gốc :rolleyes:
    Chỉ trách người dùng cài cứ auto next mà không đọc điều khoản sử dụng thôi.
    Không phải ông phó giám đốc kém về chuyên môn, mà đang cố tình trả lời lảng tránh. Cái này thì lại thuộc phạm trù đạo đức rồi {68}
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. TuanMinPay

    TuanMinPay New Member

    Tham gia: 16/04/18, 02:04 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    mình có thể pm bạn để hỏi về kỹ thuật hack cơ bản k ? mình muốn học hỏi về kỹ thuật đó
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,738
    Đã được thích: 767
    Điểm thành tích:
    113
    Anh em lưu ý sử dụng kiến thức (kỹ thuật, tool...) đúng mục đích nhé.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. thejuniordeveloper

    thejuniordeveloper New Member

    Tham gia: 19/04/18, 11:04 AM
    Bài viết: 3
    Đã được thích: 5
    Điểm thành tích:
    3
    Hôm qua có người nói với tôi là liên quan đến vụ Cốc Cốc, có người tuyên bố có thể hack để xem được thông tin trong kết nối HTTPS. Nếu thật sự kết nối HTTPS có thể bị hack dễ dàng vậy, thế giới Internet của chúng ta lập tức bị đảo lộn, chat chit riêng tư đều bị nghe lén, giao dịch ngân hàng đều bị lộ, đọc email lúc nào cũng có các "man in the middle" làm bạn đọc cùng, mọi kết nối đều có thể bị nghe lén ở giữa giống như cái điện thoại dây truyền thống vậy.

    Sáng ra giặt quần áo cho vợ xong phải vào diễn đàn ngay để coi chuyện gì ra vậy. Sau khi xem xong video clip của bạn ở bài viết https://whitehat.vn/threads/video-coc-coc-lay-thong-tin-nhu-the-nao.10600/ thì tôi thấy video clip của bạn, cùng một số video clip khác (mà tôi đã xem) thì đều không có phần "các bạn đã cài đặt môi trường như thế nào" để chuẩn bị cho việc bắt gói tin.

    Phần lớn mọi người (kể cả là người làm trong nghành) không biết HTTPS thật sự hoạt động như thế nào, an toàn như thế nào nên clip của các bạn có thể dễ dàng thuyết phục được người xem. Như câu trước tôi bạn cần xem đoạn setup môi trường của bạn, thêm nữa là thông tin về certificate (click chuột phải chọn Inspect -> Security tab -> View Certificate) khi bạn duyệt một trang https (whitehat.vn, tinhte,vn, facebook.com) trong lúc công cụ bắt gói tin của bạn đang bật và đang ở chế độ bắt để có thể kết luận bạn có hack được https hay không.

    Nếu thật sự bạn có thể hack đơn giản như vậy, bạn sẽ không còn phải ngồi ở chỗ mà bạn đang ngồi đâu.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Hiếu Phan thích bài này.
  10. poseidon

    poseidon Well-Known Member

    Tham gia: 09/04/17, 04:04 PM
    Bài viết: 56
    Đã được thích: 9
    Điểm thành tích:
    8
    Mình đã cũng đã xem lại bài viết và mình cũng không tin là có thể dễ dàng tấn công như trong video demo, nhưng nó là một POC để chứng minh là có thể đọc được, và bạn hãy check lại với đội ngũ của Cốc Cốc là từ khi nào thì họ mới tiến hành mã hóa dữ liệu người dùng gửi về (mình nhớ không nhầm thì mới là tháng 12 năm 2017 thôi).

    Chốt lại là mình thấy trong bài https://whitehat.vn/threads/video-coc-coc-lay-thong-tin-nhu-the-nao.10600/ thì bạn ấy chỉ trả lời 2 câu hỏi:

     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. kibi1997

    kibi1997 Member

    Tham gia: 07/05/17, 07:05 PM
    Bài viết: 15
    Đã được thích: 2
    Điểm thành tích:
    3
    "Https thì không thể đọc được???". Theo như mình biết thì SSL mã hóa dữ liệu của người dùng sau đó gửi đi. Mình không hiểu ý bạn là đọc được DL đã bị MH rồi hay là chưa bị MH nữa?
    Các kỹ thuật hack cơ bản là gì? Bạn có thể bày cho mình học với được không?
    Xin cảm ơn Top của bạn nhiều.
    Thân.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. lochv37

    lochv37 W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 36
    Đã được thích: 23
    Điểm thành tích:
    8
    chỉ là client đã trust cert của proxy, cái mình muốn nói ở đây, là ông phó giám đốc khẳng định trong clip, mình chỉ có thể bắt được data ở ngay trên client, là không đúng, thế thôi.
    mà thực ra thì cái đấy cũng chả quan trọng bằng việc keylog của ngưòi dùng được sử dụng như thế nào ở server
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: