Chuyên gia của dự án bảo mật trực tuyến Chongluadao.vn phát hiện hoạt động thu thập dữ liệu cookie bất thường trên công cụ của ATP Software. Phần mềm này là một ứng dụng mở rộng phổ biến, được sử dụng rộng rãi bởi người quản lý của nhiều fanpage, dân MMO (kiếm tiền online) tại Việt Nam.
Ban đầu, ATP Software giải thích rằng việc lấy dữ liệu này để phục vụ thủ thuật SEO (tối ưu hóa tìm kiếm), quảng cáo hiệu quả. Tuy nhiên, lời biện hộ này bị các chuyên gia bảo mật cho rằng có nhiều lỗ hổng.
Âm thầm thu thập dữ liệu
Ông Chí Trần, chuyên gia bảo mật, một thành viên của dự án Chongluadao.vn gần đây đã phát hiện hoạt động bất thường trong cách phần mềm ATP Cookie hoạt động. Đây vốn là một Extension (Công cụ mở rộng), hoạt động trên trình duyệt. Ứng dụng này khá phổ biến tại Việt Nam, được ứng dụng trong việc quản lý fanpage, theo dõi khách hàng, kiếm tiền trực tuyến…
Theo nghiên cứu của ông Chí, sau khi người dùng cài đặt Extension này vào trình duyệt và cấp quyền hoạt động, nó sẽ tự động khởi tạo và khai thác cookie đăng nhập tài khoản Facebook, Zalo. Cookie là các tệp do trang web tạo ra. Nó lưu những thông tin liên quan đến cá nhân như tài khoản đăng nhập, để sử dụng cho lần sau.
Tuy nhiên, hành vi thu thập dữ liệu của phần mềm ATP là bất thường bởi công cụ lấy dữ liệu đăng nhập của nhiều tài khoản khác trên trình duyệt người dùng, bên cạnh website làm việc là Facebook. Ngoài ra, việc Extension được thiết kế để đóng gói phần dữ liệu nhạy cảm này, gửi về máy chủ, tiềm ẩn nhiều nguy cơ an toàn bảo mật thông tin.
Trao đổi với Tri Thức Trực Tuyến, chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), cho rằng việc một phần mềm mở rộng âm thầm lấy dữ liệu đăng nhập, đưa về máy chủ là không cần thiết, ảnh hưởng đến quyền lợi cá nhân của khách hàng.
“Gửi token, cookie đăng nhập của người dùng về máy chủ là hành vi không được khuyến khích trong đảm bảo an toàn thông tin. Dữ liệu này hoàn toàn có thể được xử lý ngay trên client-side (trang dịch vụ) thông qua Extension”, đại diện Chongluadao.vn chia sẻ.
Ngoài ra, phần công cụ mở rộng do ATP Software phát triển không phải phần mềm được Google xét duyệt. Để cài đặt, người dùng phải tải tập ngoài, cài đặt trong chế độ nhà phát triển.
Lời giải thích của ATP Software
Sau khi thông tin nói trên được công bố đến cộng đồng, phía ATP Software giải thích qua email rằng việc gửi dữ liệu về máy chủ nhằm mục đích SEO và quảng bá thêm sản phẩm của công ty này đến người dùng, qua website.
Tuy nhiên, chuyên gia bảo mật của Chongluadao.vn, cho rằng lời giải thích của phía nhà phát triển thiếu bằng chứng. Theo đó, phần dữ liệu được thu thập có thể bị sử dụng, mua bán khó kiểm soát. Ngoài ra, bằng chứng hiện tại cho thấy việc lưu trữ dữ liệu cookie người dùng trên máy chủ là vi phạm pháp luật Việt Nam,
Sáng 3/7, phía ATP Software gửi email phản hồi về vấn đề bảo mật nói trên. Đại diện doanh nghiệp nhận lỗi trong việc thiết kế phần mềm, tự động truy cập và lưu lịch sử truy cập của khách hàng. “Một phần vấn đề do đội ngũ ATP thiếu kiến thức bảo mật và quản trị server, dẫn đến việc không nắm bắt được vấn đề. Tuy nhiên, chúng tôi không có đoạn mã nào được đưa vào với chủ đích lưu lại cookie của khách hàng”, phía công ty phần mềm phản hồi.
Đơn vị này cho biết họ sẽ sớm cập nhật, sửa lỗi phiên bản phần mềm nói trên để khắc phục vấn đề. Đồng thời, công ty khuyến cáo người dùng nên gỡ bỏ ứng dụng hiện có trên trình duyệt để tránh nguy cơ về bảo mật.
Thực tế, các phần mềm của công ty này phần lớn là dịch vụ trả phí. Để sử dụng khách hàng phải chi 1-5 triệu đồng hoặc thuê theo tháng để sử dụng.