Video: Cốc Cốc lấy thông tin như thế nào?

Ông Dev thì ông ấy chỉ là thằng code tạo ra sản phẩm , còn dùng thông tin hay ko, kế hoạch khai thác.. abc là do mấy ông khai thác , ban giam doc mà ), ông ấy cam kết thì tác dụng gì

 

Như đã thông tin trong bài Nghi vấn trình duyệt Cốc Cốc lấy cookies tài khoản Facebook, mình đã tiến hành thực nghiệm để làm rõ vấn đề.

Trong bài trước, mình đã đặt ra hai câu hỏi:

1. Cốc Cốc có lấy cookies Facebook của người dùng?

2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?

Câu trả lời cho câu hỏi thứ nhất là KHÔNG! Như Cốc Cốc đã thông tin, lỗi này là do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.

Câu trả lời cho câu hỏi thứ hai là CÓ!

Trong video thử nghiệm trên một phiên bản phát hành trước ngày 16.4, kết quả thật bất ngờ, những gì mình gõ vào Cốc Cốc đều được gửi về server của Cốc Cốc (https://spell.itim.vn), kể cả tin nhắn riêng với bạn mình.
Còn đối với phiên bản mới nhất phát hành hôm nay 16.4 thì không thấy gửi về nữa. Các bạn xem clip dưới đây và tự quyết định xem mình nên làm gì nhé.

Cập nhật: Cốc Cốc không gửi về thông tin mật khẩu hoặc chuỗi chỉ gồm có số. Tuy nhiên, ngoài 2 cái đó ra thì Cốc Cốc có gửi những thông tin khác về, miễn là người dùng gõ trên trình duyệt, bao gồm chat, email…

Về spell check?
1. Spell check là gì?
Spell check là tính năng kiểm tra chính tả nhập vào có đúng cú pháp hay không

2. Spell check có cần kết nối internet để hoạt động không?
Hầu hết các module tích hợp tính năng spell check đều được gắn ở phía client . Tức là khi bạn gõ các ký tự thì việc kiểm tra chính tả đó sẽ được một phần mềm chạy trên máy bạn kiểm tra theo một thuật toán và ngôn ngữ được cài đặt trước chứ không gửi đi đâu. Việc cài đặt hoạt động trên client sẽ giúp cho tính năng này hoạt động nhanh phản hồi ngay lập tức, không phụ thuộc vào internet. Và tất nhiên điều quan trọng là dữ liệu đó là của cá nhân nên không lộ thông tin của người dùng ra bên ngoài internet.

Bạn còn bản coccoc trước 16/4 k, gửi cho mình với, mình muốn test thử xem tn

 

Chào bạn, mình là Hiếu Phan, developer từ Cốc Cốc Browser. Mình xin trả lời bạn câu hỏi này như sau:

> 2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?

Để phục vụ cho tính năng spell checker, chúng tôi bắt buộc phải gửi những gì bạn nhập vào text field lên server. Server sẽ kiểm tra và trả kết quả gợi ý trở lại cho browser. Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi dữ liệu lên. Đấy là thiết kế bình thường cho một online service nào.

Google cũng thiết kế tính năng spell checker như vậy. Bạn có thể xem: https://www.google.com/intl/en/chrome/browser/privacy/whitepaper.html#spelling

Tuy nhiên chúng tôi biết đây là dữ liệu nhạy cảm, do đó từ bản 68 (released vào tháng 12/2017), chúng tôi đã tiến hành mã hoá nó. Điều này khiến dữ liệu của bạn được bảo đảm hơn bao giờ hết.

Mình cần Cốc Cốc trả lời về câu hỏi của mình...
Mình bị hack account business facebook rất nhiều hệ thống page.. và IP từ cốc cốc.
Cái này giải thích thể nào ?
https://whitehat.vn/threads/nghi-van-coc-coc-hack-tai-khoan-facebook-business.10607/

 

Bác nào có thể cho em tên phần mềm mà bác chủ thớt dùng để check với ạ. Em cảm ơn.

 

Bác nào có thể cho em tên phần mềm mà bác chủ thớt dùng để check với ạ. Em cảm ơn.

Phần mềm Burp Suite nhé bạn.
https://whitehat.vn/threads/burp-suite-101.5210/

 

Chào bạn, mình là Hiếu Phan, developer từ Cốc Cốc Browser. Mình xin trả lời bạn câu hỏi này như sau:

> 2. Tính năng spell check của Cốc Cốc có gửi mọi thông tin của người dùng về cho Cốc Cốc?

Để phục vụ cho tính năng spell checker, chúng tôi bắt buộc phải gửi những gì bạn nhập vào text field lên server. Server sẽ kiểm tra và trả kết quả gợi ý trở lại cho browser. Dữ liệu gửi lên là vô danh (anonymous). Chúng tôi không thể biết chính xác ai đã gửi dữ liệu lên. Đấy là thiết kế bình thường cho một online service nào.

Google cũng thiết kế tính năng spell checker như vậy. Bạn có thể xem: https://www.google.com/intl/en/chrome/browser/privacy/whitepaper.html#spelling

Tuy nhiên chúng tôi biết đây là dữ liệu nhạy cảm, do đó từ bản 68 (released vào tháng 12/2017), chúng tôi đã tiến hành mã hoá nó. Điều này khiến dữ liệu của bạn được bảo đảm hơn bao giờ hết.

Bạn sang đây giải thich dùm mình với.
https://whitehat.vn/threads/nghi-van-coc-coc-hack-tai-khoan-facebook-business.10607/

 

Cần phải public rộng rãi cho mọi người biết

 

Rất hài hước. EULA là cái mà đối với dân Việt Nam quá xa xỉn.

1. Gửi text lên cho server để gợi ý? CHO MỌI TRƯỜNG TEXT??? Bao gồm tất cả mọi thứ? Như chẳng hạn: Tài khoản đăng nhập ngân hàng? Credit card? Và gửi KHÔNG CẦN HỎI? Nếu là spellcheck thì từ điển offline đã là quá đủ rồi.

2. Như thế nào là an toàn? Trường hợp gần đây của FB. FB lưu trữ thông tin người dùng. Đó là điều hiển nhiên. Việc nó bị lạm dụng mới là vấn đề. Còn case của CỐC CỐC, rõ ràng là đa vi phạm quyền riêng tư người dùng.

3. Không tiết lộ. Thế có thể bị khai thác không? Một bạn nhân viên xấu tính hoặc một lỗ hổng nào đó có thể mang theo toàn bộ user data đi. Đừng nói gì là không thể. Hơn nữa dữ liệu đã gửi lên đến server của CỐC CỐC, nói như gạo đã nấu thành cơm vậy, ông nói ông không ăn thì người ta tin chắc.

Thoạt đầu nghe vụ này còn hoài nghi mấy ông Whitehat câu fame, giờ Dev của CỐC CỐC claim vụ này luôn thì sợ thật

Bác nói đúng này, Hài hước thật! Hay cho câu: "Nói như gạo đã nấu thành cơm vậy, ông nói ông không ăn thì người ta tin chắc.", mà kể cả có cơm không ăn thì gạo vẫn còn đó.

 

Bạn còn bản coccoc trước 16/4 k, gửi cho mình với, mình muốn test thử xem tn

https://itadn.blogspot.com/2017/08/portable-coccoc-full-web-windows-trinh.html day ban

 

https://topthuthuat.com/doi-file-host-vao-facebook/
Sau khi bạn đổi File hosts ở thư mục Etc thì trình duyệt cốc cốc của bạn sẽ có Ip này nhé. Thủ thuật này cũng có lâu rồi. Thay đổi Ip thì ai cũng làm được bạn ạ. Nhưng dãy Ip này thì một số Facebook lại xem là chính chủ. Bạn xài Ip lạ sẽ bị khoá tài khoản ngay. Nhưng dãy 123.xxx có được khi thay đổi Ip này thì đăng nhập nick thẳng, hoặc có thể gửi hỗ trợ khôi phục mật khẩu bằng CMND!

31.13.79.7 facebook.com
31.13.79.7 www.login.facebook.com
31.13.79.7 login.facebook.com
31.13.79.7 apps.facebook.com
31.13.79.7 graph.facebook.com
31.13.79.7 register.facebook.com
31.13.79.7 vi-vn.connect.facebook.com
31.13.79.7 vi-vn.facebook.com
31.13.79.7 static.ak.connect.facebook.com
31.13.79.7 developers.facebook.com
31.13.79.7 error.facebook.com
31.13.79.7 channel.facebook.com
31.13.79.7 register.facebook.com
31.13.79.7 bigzipfiles.facebook.com
31.13.79.7 pixel.facebook.com
69.171.224.33 upload.facebook.com
31.13.79.7 register.facebook.com
31.13.79.7 bigzipfiles.facebook.com
69.171.229.72 pixel.facebook.com
31.13.79.7 logins.facebook.com
31.13.79.7 facebook.com
31.13.79.7 www.facebook.com
31.13.79.7 graph.facebook.com
31.13.79.7 developers.facebook.com
31.13.79.7 error.facebook.com
31.13.79.7 register.facebook.com
31.13.79.7 blog.facebook.com
31.13.79.7 channel.facebook.com
31.13.79.7 connect.facebook.com
31.13.79.7 bigzipfiles.facebook.com

127.0.0.1 192.150.14.69
127.0.0.1 192.150.18.101
127.0.0.1 192.150.18.108
127.0.0.1 192.150.22.40
127.0.0.1 192.150.8.100
127.0.0.1 192.150.8.118
127.0.0.1 209-34-83-73.ood.opsource.net
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 3dns.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe.activate.com
127.0.0.1 adobeereg.com
127.0.0.1 crl.verisign.net
127.0.0.1 CRL.VERISIGN.NET.*
127.0.0.1 ereg.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 ereg.wip.adobe.com
127.0.0.1 ereg.wip1.adobe.com
127.0.0.1 ereg.wip2.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 ereg.wip4.adobe.com
127.0.0.1 hl2rcv.adobe.com
127.0.0.1 ood.opsource.net
127.0.0.1 practivate.adobe
127.0.0.1 practivate.adobe.*
127.0.0.1 practivate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 practivate.adobe.ipp
127.0.0.1 practivate.adobe.newoa
127.0.0.1 practivate.adobe.ntp
127.0.0.1 tss-geotrust-crl.thawte.com
127.0.0.1 wip.adobe.com
127.0.0.1 wip1.adobe.com
127.0.0.1 wip2.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 wip4.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com