Nhận định của Ban quản trị WhiteHat về vụ việc Cốc Cốc

Thảo luận trong 'Thông báo, Khen thưởng - Kỷ luật' bắt đầu bởi sunny, 18/04/18, 06:04 PM.

  1. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,812
    Đã được thích: 803
    Điểm thành tích:
    113
    coccoc.png
    (Ảnh: @lochv37)
    Xin chào các bạn,

    Trong mấy ngày gần đây có rất nhiều thông tin liên quan đến nghi vấn trình duyệt Web Cốc Cốc lấy thông tin của người dùng và có khá nhiều tranh luận xung quanh sự việc này.

    Sau khi tìm hiểu các thông tin liên quan, xuyên suốt vụ việc này có 3 câu hỏi cần đặt ra, Ban quản trị xin chia sẻ nhận định như sau:

    (1) Cốc Cốc có cố ý lấy Cookies Facebook từ người dùng không?

    Ngày 15/4, thành viên Trần Văn Hòa của Group Facebook SEM Việt Nam kiểm tra request trên máy tính thì thấy Cốc Cốc có gửi lên server đoạn POST, trong đó có chứa cookies tài khoản Facebook vừa đăng nhập lên domain: https://spell.itim.vn (một domain của Công ty TNHH Cốc Cốc), từ đó nghi ngờ là Cốc Cốc cố ý lấy cookies tài khoản Facebook của người dùng. Tuy nhiên sau đó chính thành viên này cũng đã xác nhận, việc gửi cookies từ máy tính của mình lên trên server của Cốc Cốc là do kết hợp giữa việc người dùng chủ động copy cookies vào extension Ninja Fast Login Facebook và việc gửi thông tin lên server của tính năng spell check trên trình duyệt Cốc Cốc.

    Như vậy có thể khẳng định Cốc Cốc không chủ động lấy cookies Facebook và gửi về server của mình.

    (2) Cốc Cốc có gửi dữ liệu từ trình duyệt về server của mình hay không?

    Theo clip mà thành viên lochv37 của WhiteHat đăng tải vào tối ngày 16.4 và thực nghiệm xác minh của BQT:

    - Tính năng spell check trên Cốc Cốc ở phiên bản phát hành trước ngày 16.4 có gửi thông tin người dùng gõ trên trình duyệt về server của Cốc Cốc tại https://spell.itim.vn.

    - Thông tin gửi về không bao gồm mật khẩu

    (3) Cốc Cốc có lưu trữ, sử dụng dữ liệu được gửi về?

    Vấn đề này đại diện của Cốc Cốc đã trả lời: “để phục vụ cho tính năng spell checker, Cốc Cốc bắt buộc phải gửi những gì người dùng nhập vào text field lên Server” và “chúng tôi cũng như Google chỉ lưu trữ dữ liệu tạm thời cho mục đích sửa lỗi và cải thiện chất lượng dịch vụ..”

    Tuy nhiên, Cốc Cốc có lưu trữ lâu dài và sử dụng cho các mục đích khác hay không thì chúng tôi không có thông tin để khẳng định việc này.

    Trên đây là các nhận định từ Ban quản trị WhiteHat, rất mong nhận được thêm đóng góp từ các bạn để có góc nhìn đa chiều trong các vụ việc vừa qua.


    BQT WhiteHat Forum
     
    Last edited by a moderator: 19/04/18, 10:04 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    pkluv and Baby_parrot like this.
  2. Nhựt Trường

    Nhựt Trường Whi-----

    Tham gia: 31/10/13, 02:10 AM
    Bài viết: 148
    Đã được thích: 32
    Điểm thành tích:
    48
    nếu xét theo góc độ kinh doanh thì coccoc chả dại mà đụng tới mật khẩu và tài khoảng người dùng. cái họ cần là thói quen người dùng xác định bạn là ai,nam, nữ, khu vực bạn sống, tài chính bạn thế nào, bạn hay mua hàng gì bla bla.... Nhưng củng có thể họ phải nhân nhượng một thế lực nào đó và nếu mình có nguồn lực đủ thì mình không dại mà lấy pass thẳng người dùng. mình có thể từ từ theo dõi sao đó tổng hợp mọi thứ vì email thì công khai rồi chỉ còn pass đủ data thì crack pass 80-90%
    Kết luận cá nhân mình: thì coccoc sẽ không dại lấy pass, cookie người dùng từ ô nhập pass, nhưng họ là công ty sống quảng cáo nên chắt chắn họ sẽ lưu lại dữ liệu người dùng, web người dùng họ truy cập vv..
    . nói chung nếu nghi không dùng nếu dùng thì nên biết rõ các thứ mình có thể mất mình thì mấy năm rùi không đụng vào vì quảng cáo quá.
     
    Chỉnh sửa cuối: 18/04/18, 09:04 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. kuqadk3

    kuqadk3 W-------

    Tham gia: 24/09/15, 10:09 PM
    Bài viết: 20
    Đã được thích: 14
    Điểm thành tích:
    3
    Việc lấy dữ liệu người dùng để quảng cáo thì không chỉ software mà các website cũng làm.
    Không tin bạn có thể vào tiki.vn tìm quyển sách rồi lên vozforums.com hoặc vào một số trang có đặt banners quảng cáo, thể nào cũng sẽ gặp quảng cáo về các cuốn sách bạn vừa lướt trên tiki.vn.
    Cách đơn giản nhất là cài một cái Ad Blocker vào trình duyệt, vậy là xong :
    1. Nếu mục đích thương mại, ok, bạn không thể làm phiền tôi nữa
    2. Nếu mục đích của việc phân tích dữ liệu dùng cho những việc như phân tích xu hướng chính trị, quân sự, phản ứng người dùng,...vv cái này đơn giản là phân tích toàn cục chứ không nhắm vào một cá nhân cụ thể thì cũng không cần lo, lo cũng không tránh được. Bạn có thể cẩn thận trang A, không sài phần mềm B, thì bạn sẽ để lộ khi sài C thôi, bảo mật là một process, không phải một product, cảm thấy trong một quá trình xuyên suốt mà bảo mật được thì bảo mật, còn bảo mật nhất thời là vô dụng.

    Cuối cùng thì mọi người có thể nghi kị các software này kia, nhưng lại mù quáng tin vào hardware



    => Kết luận : dân tình nhảy nhô nhảy nhào lên vì một software dính phốt này kia, nhưng lại không biết mình vẫn đang bị chính chiếc máy tính mình sài... :rofl: Những trò lố ;)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. ghost82

    ghost82 New Member

    Tham gia: 20/04/18, 12:04 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    ban nao co phan mem http analysis v20. nhu admin demo khong cho minh xin
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. leebin

    leebin Active Member

    Tham gia: 17/04/18, 04:04 PM
    Bài viết: 32
    Đã được thích: 5
    Điểm thành tích:
    8
    Cái quan trọng ở phần 3.. Cốc Cốc thừa nhận có lưu trữ dữ liệu người dụng tạm thời..
    Cái lưu trữ tạm thời này đi về đâu.. Và ai kiểm soát.. nếu hẳn 1 đội ngũ nhân viên kỹ thuật đảm nhiệm thì cũng k có gì là chắc chắn dữ liệu đó ko bị rò rỉ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,812
    Đã được thích: 803
    Điểm thành tích:
    113
    Thực tế cũng có nhiều bên lấy dữ liệu nhưng họ không để mặc định như Cốc Cốc và trong điều khoản sử dụng cũng chi tiết hơn.

    Vấn đề chỉ còn là ở lòng tin của người dùng, tin thì dùng không tin thì không dùng.

    Vụ của bạn nếu muốn kiện cũng nên tìm luật sư tư vấn cho rõ đồng thời bạn nên xem lại thỏa thuận sử dụng của Cốc Cốc.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. leebin

    leebin Active Member

    Tham gia: 17/04/18, 04:04 PM
    Bài viết: 32
    Đã được thích: 5
    Điểm thành tích:
    8
    vâng thanks Ad
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Nguyễn Văn Hòa

    Nguyễn Văn Hòa New Member

    Tham gia: 18/04/18, 07:04 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Từ xưa đến giờ mình vẫn dùng COCCOC, mính không quan tâm nhiều đến vấn đề côccoc có lấy dữ liễu người dùng hay không vì mình chẵng có cái già quan trọng cả. Nhưng mình rất ức chế là nó tự động cài cái addon rungrinh.vn vào (không gỡ được) làm cho mình cảm thấy khó chịu.!
    THÔI ĐÀNH NÓI LỜI CHIA TAY COCCOC VẬY! Never use again!
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. pkluv

    pkluv New Member

    Tham gia: 20/04/18, 05:04 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Lại gặp nick ảo của bạn Lê Nam trên này =)) vụ này nổi lên mới biết đội seo bẩn là chủ nhân trang mạo danh unikey.org (trang fake là trang unikey.vn)
     
    Chỉnh sửa cuối: 20/04/18, 05:04 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,812
    Đã được thích: 803
    Điểm thành tích:
    113
    Vụ liên quan đến SEO mà bạn nhắc đến mình chưa có thông tin.

    Còn về trang web mạo danh unikey Ban quản trị cũng đã check qua và thấy phần mềm là an toàn với người dùng: https://whitehat.vn/threads/unikey-khong-chinh-chu-lieu-co-an-toan.9406/
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. pkluv

    pkluv New Member

    Tham gia: 20/04/18, 05:04 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Fake unikey thì có thể thay link hay làm trò gì cũng được, làm con ransomware tống tiền cũng không ai biết, unikey thì dân VN còn dùng nhiều hơn cả cái browser CC.

    Cũng như cốc cốc lưu thông tin check chính tả, có đem lưu để mining hay không? Các ông IT là hay có trò đặt pass dài rồi copy/paste nhầm vào text form thì họ có quyền đặt vấn đề là có bị dùng để check chính tả không? =)))))) tất nhiên là việc nghe lén khi dùng https là gần như không thể, mà ông nào bị man-in-middle thì thôi khỏi bàn vì ff, chrome hay tor thì cũng lộ như nhau.

    Cá nhân mình không khoái PR cho đội vietmoz này lắm, có vẻ đang có kèo win-win ở đây. Đặt biệt là CC dang release extention gì đó mới, theo thuyết âm mưu.
    https://www.facebook.com/groups/semvietnam/permalink/2089992357708344/
     
    Chỉnh sửa cuối: 20/04/18, 11:04 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. pkluv

    pkluv New Member

    Tham gia: 20/04/18, 05:04 PM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,812
    Đã được thích: 803
    Điểm thành tích:
    113
    Cái này không hẳn gọi là fake mà là team ấy đẩy được SEO tốt nên khi search google trả về site unikey.vn, thứ hai mới là unikey.org. Tạm thời mới kết luận là site ấy chạy quảng cáo để kiếm tiền, chưa cài cắm gì.

    Vụ của Cốc Cốc thì mình không muốn nói nữa vì các bạn ấy không trả lời trực tiếp các nghi vấn của cộng đồng, thôi thì để tự cộng đồng đánh giá, quyết định cuối cùng là ở người dùng, WhiteHat chỉ cố gắng phân tích rõ vấn đề nhất có thể.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. dangkiena3

    dangkiena3 W-------

    Tham gia: 29/06/13, 08:06 PM
    Bài viết: 17
    Đã được thích: 6
    Điểm thành tích:
    8
    Thời đại này đã lên mạng là không có gì an toàn hết. Bạn dùng Chrome, Google, Facebook...nó cũng đều thu thập dữ liệu của bạn cả. Dùng mấy phần mềm miễn phí nó cũng thu thập (không dưng mà nó miễn phí). Dùng điện thoại nó cũng thu thập đủ thứ tá lả...
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. anh.trann91

    anh.trann91 Member

    Tham gia: 19/01/18, 02:01 PM
    Bài viết: 5
    Đã được thích: 2
    Điểm thành tích:
    3
    Mình dùng Cốc cốc 1 lần sau đó không dùng nữa vì quảng cáo quá nhiều, sau này mình lại phải chạy quảng cáo trên này thì cái target khách hàng lại khá tốt, mình nghĩ việc thu thập dữ liệu người dùng là chắc chắn có rồi, tuy nhiên, vấn đề này thì ông nào cũng làm thôi. Sau vụ này thì mình có liên lạc với bên đó đề tạm thời dùng quảng cáo thì câu trả lời của bên kia không thoả đáng cho lắm.
    Còn lại thì mọi thử hơi bị mơ hồ giữa người dùng với Cốc cốc, chưa rõ ràng lắm.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan