Theo kết quả khi sử dụng công cụ giám sát, trình duyệt Cốc Cốc liên tục gửi đi các gói tin lạ mỗi khi người dùng nhập văn bản. Việc gửi gói tin được thực hiện trong trường hợp người dùng thêm dấu văn bản khi sử dụng tính năng gõ tiếng Việt không dấu. Tính năng này hoạt động ngay cả trên cửa sổ chat của Facebook.
Đoạn clip tố cáo Facebook gửi nội dung văn bản trong đoạn chat của người dùng lên server nhưng không mã hóa.
Những đoạn hội thoại này có thể được đọc dưới dạng plain text (văn bản thuần túy) khi tiến hành bắt gói tin. Chúng được gửi về địa chỉ https://spell.itim.vn, tên miền thuộc quyền sở hữu của Công ty TNHH Cốc Cốc, đơn vị điều hành phát triển trình duyệt Cốc Cốc.
Cốc Cốc nói gì khi bị nghi vấn?
Trả lời về vấn đề này, ông Hiếu Phan, Trưởng nhóm phát triển trình duyệt Cốc Cốc cho biết: “Để phục vụ cho tính năng kiểm tra chính tả, thêm dấu Cốc Cốc bắt buộc phải gửi những gì người dùng vào các trường văn bản (text field) lên máy chủ”.
“Máy chủ sẽ kiểm tra và trả kết quả gợi ý trở lại cho trình duyệt. Tất cả dữ liệu gửi lên là vô danh (anonymous). Cốc Cốc không thể biết chính xác ai đã gửi dữ liệu lên. Các dữ liệu này cũng chỉ được lưu trữ tạm thời để sửa lỗi và cải thiện chất lượng dữ liệu. Đấy là thiết kế bình thường cho bất cứ một dịch vụ trực tuyến (online service) nào”, ông Hiếu Phan chia sẻ.
Đại diện Cốc Cốc khẳng định tính năng này không hoạt động ở ô nhập liệu mật khẩu của người dùng. “Do vậy không có việc thông tin mật khẩu người dùng được gửi về máy chủ của Cốc Cốc”, ông Hiếu cho biết. Cũng theo ông Hiếu tất cả các dữ liệu này đều được mã hóa nên dữ liệu của người dùng hoàn toàn được đảm bảo.
Giải thích thêm về tính năng kiểm tra chính tả, đại diện Cốc Cốc cho biết đây là tính năng giúp người dùng tăng hiệu quả gõ văn bản trên môi trường mạng.
Khi người dùng bình luận trên facebook hoặc gõ văn bản trên bất cứ cửa sổ soạn thảo văn bản trực tuyến nào bằng tiếng Việt không dấu, trình duyệt Cốc Cốc sẽ tự động điền đấu tiếng Việt có dấu với độ chính xác gần 100%. Tính năng này ước tính sẽ giúp giảm bớt 20% thời gian gõ văn bản.
“Ngoài ra, tính năng này cũng cho phép phát hiện những lỗi chính tả và đưa ra gợi ý sửa lỗi giúp người dùng có được văn bản tốt nhất”, đại diện Cốc Cốc cho biết.
Cốc Cốc có lén lưu giữ tin nhắn người dùng?
Trước những giải thích của đơn vị vận hành Cốc Cốc, anh Nam Lê - admin diễn đàn SEM Việt Nam, nơi bắt nguồn của vụ việc cho biết: “Lúc xảy ra sự cố, bên Cốc Cốc đã chối bay chối biến và đổ lỗi cho thành viên của SEM Việt Nam là nhầm lẫn. Tuy nhiên khi có các chuyên gia vào cuộc với clip rất cụ thể, bản thân Cốc Cốc vẫn chưa nhận ra được lỗi của mình.” Vị chuyên gia này khẳng định Cốc Cốc đã sai và cho rằng dữ liệu mà trình duyệt này tải lên server không hề được mã hóa.
Chia sẻ với phóng viên VietNamNet, anh Trọng Hiếu - một chuyên gia công nghệ mảng hệ thống cho biết, thông thường các module tích hợp tính năng soát lỗi chính tả (spell check) đều được gắn ở phía thiết bị xủa người dùng (client). Khi gõ thông tin bất kỳ, việc kiểm tra chính tả sẽ do phần mềm trên máy tính phụ trách. Người dùng không cần kết nối Internet, cũng như chẳng cần phải gửi các gói tin về server để thực hiện được điều này.
Anh Hiếu cũng tỏ ra băn khoăn về việc tính năng kiểm tra chính tả của Cốc Cốc được trình duyệt này kích hoạt sẵn. Trong khi đó với trường hợp của Chrome, việc kiểm tra chính tả chỉ hoạt động khi người sử dụng kích hoạt trong phần cài đặt.
“Tại sao Cốc Cốc không mã hóa dữ liệu gửi đi như trong đoạn clip?”, anh Hiếu đặt vấn đề. Theo anh Hiếu thì Cốc Cốc đã không bảo vệ dữ liệu người dùng. Vị chuyên gia này nhấn mạnh rằng việc gửi thông tin lên server phải được tiến hành mã hóa.
Trao đổi về đoạn clip đang lan truyền trên Internet, anh Hào Trần - chuyên gia bảo mật trong lĩnh vực ngân hàng cho rằng có sự khác biệt giữa công cụ kiểm tra chính tả của Cốc Cốc và Google. Trình duyệt Chrome chỉ kiểm tra lỗi chính tả là đúng hay sai. Trong khi đó với Cốc Cốc, trình duyệt này có một tính năng chuyên dùng cho người Việt là chuyển văn bản từ không dấu thành có dấu.
“Việc chuyển từ không dấu thành có dấu có liên quan đến công nghệ học máy và AI. Điều này đòi hỏi hệ thống phải được cập nhật một cách thường xuyên và liên tục nhằm tăng khả năng dự đoán của thuật toán. Nếu tiến hành mã hóa rồi thì Cốc Cốc cũng khó mà xử lý lỗi chính tả ”, anh Hào cho biết.
Theo anh Hào, mã hóa là một vấn đề quan trọng cần phải nhắc đến trong câu chuyện này. Khó có thể biết được thông tin gửi lên server có mã hóa hay không, có mã hóa thì cũng không thể dám chắc được việc bên nhận là server của Cốc Cốc không có khả năng giải mã.
“Nếu họ có chính sách quản lý chặt chẽ và không có ý định lấy dữ liệu thì không có vấn đề gì, còn nếu muốn lấy thì chắc chắn lấy được. Điều này cũng tương tự với câu chuyện về dữ liệu người dùng của Google hay Facebook”, vị chuyên gia này chia sẻ.
Trong câu chuyện này, rất khó để kết luận việc Cốc Cốc đã “đọc trộm” tin nhắn người dùng hay chưa, nhưng khi đưa dữ liệu người dùng gõ trên trình duyệt về máy chủ thì về mặt kỹ thuật là có thể đọc được nếu muốn. Tuy nhiên, trình duyệt này cần phải xem lại cách mã hóa dữ liệu và xử lý thông tin người dùng là điều mà nhiều chuyên gia cùng tán đồng ý kiến.