04/07/2023 (10:30:15)
Công cụ ATP Cookie, được dùng nhiều trong giới MMO (kiếm tiền online) Việt Nam bị nghi ngờ lấy dữ liệu cá nhân của khách hàng, gửi về máy chủ.
 |
| Phần mềm quảng cáo Facebook của ATP Software tự động lấy cookies người dùng: Ảnh: Xuân Sang. |
Chuyên gia của dự án bảo mật trực tuyến Chongluadao.vn phát hiện hoạt động thu thập dữ liệu cookie bất thường trên công cụ của ATP Software. Phần mềm này là một ứng dụng mở rộng phổ biến, được sử dụng rộng rãi bởi người quản lý của nhiều fanpage, dân MMO (kiếm tiền online) tại Việt Nam.
Ban đầu, ATP Software giải thích rằng việc lấy dữ liệu này để phục vụ thủ thuật SEO (tối ưu hóa tìm kiếm), quảng cáo hiệu quả. Tuy nhiên, lời biện hộ này bị các chuyên gia bảo mật cho rằng có nhiều lỗ hổng.
Ông Chí Trần, chuyên gia bảo mật, một thành viên của dự án Chongluadao.vn gần đây đã phát hiện hoạt động bất thường trong cách phần mềm ATP Cookie hoạt động. Đây vốn là một Extension (Công cụ mở rộng), hoạt động trên trình duyệt. Ứng dụng này khá phổ biến tại Việt Nam, được ứng dụng trong việc quản lý fanpage, theo dõi khách hàng, kiếm tiền trực tuyến…
 |
| Những đoạn mã tự động lấy cookie đăng nhập của người dùng tên của công cụ ATP. Ảnh: Ngô Minh Hiếu. |
Theo nghiên cứu của ông Chí, sau khi người dùng cài đặt Extension này vào trình duyệt và cấp quyền hoạt động, nó sẽ tự động khởi tạo và khai thác cookie đăng nhập tài khoản Facebook, Zalo. Cookie là các tệp do trang web tạo ra. Nó lưu những thông tin liên quan đến cá nhân như tài khoản đăng nhập, để sử dụng cho lần sau.
Tuy nhiên, hành vi thu thập dữ liệu của phần mềm ATP là bất thường bởi công cụ lấy dữ liệu đăng nhập của nhiều tài khoản khác trên trình duyệt người dùng, bên cạnh website làm việc là Facebook. Ngoài ra, việc Extension được thiết kế để đóng gói phần dữ liệu nhạy cảm này, gửi về máy chủ, tiềm ẩn nhiều nguy cơ an toàn bảo mật thông tin.
Trao đổi với Tri Thức Trực Tuyến, chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), cho rằng việc một phần mềm mở rộng âm thầm lấy dữ liệu đăng nhập, đưa về máy chủ là không cần thiết, ảnh hưởng đến quyền lợi cá nhân của khách hàng.
“Gửi token, cookie đăng nhập của người dùng về máy chủ là hành vi không được khuyến khích trong đảm bảo an toàn thông tin. Dữ liệu này hoàn toàn có thể được xử lý ngay trên client-side (trang dịch vụ) thông qua Extension”, đại diện Chongluadao.vn chia sẻ.
Ngoài ra, phần công cụ mở rộng do ATP Software phát triển không phải phần mềm được Google xét duyệt. Để cài đặt, người dùng phải tải tập ngoài, cài đặt trong chế độ nhà phát triển.
Sau khi thông tin nói trên được công bố đến cộng đồng, phía ATP Software giải thích qua email rằng việc gửi dữ liệu về máy chủ nhằm mục đích SEO và quảng bá thêm sản phẩm của công ty này đến người dùng, qua website.
 |
| Công ty ATP Software nhận lỗi, cập nhật bản vá cho app. Ảnh: Xuân Sang. |
Tuy nhiên, chuyên gia bảo mật của Chongluadao.vn, cho rằng lời giải thích của phía nhà phát triển thiếu bằng chứng. Theo đó, phần dữ liệu được thu thập có thể bị sử dụng, mua bán khó kiểm soát. Ngoài ra, bằng chứng hiện tại cho thấy việc lưu trữ dữ liệu cookie người dùng trên máy chủ là vi phạm pháp luật Việt Nam,
Sáng 3/7, phía ATP Software gửi email phản hồi về vấn đề bảo mật nói trên. Đại diện doanh nghiệp nhận lỗi trong việc thiết kế phần mềm, tự động truy cập và lưu lịch sử truy cập của khách hàng. “Một phần vấn đề do đội ngũ ATP thiếu kiến thức bảo mật và quản trị server, dẫn đến việc không nắm bắt được vấn đề. Tuy nhiên, chúng tôi không có đoạn mã nào được đưa vào với chủ đích lưu lại cookie của khách hàng”, phía công ty phần mềm phản hồi.
Đơn vị này cho biết họ sẽ sớm cập nhật, sửa lỗi phiên bản phần mềm nói trên để khắc phục vấn đề. Đồng thời, công ty khuyến cáo người dùng nên gỡ bỏ ứng dụng hiện có trên trình duyệt để tránh nguy cơ về bảo mật.
Thực tế, các phần mềm của công ty này phần lớn là dịch vụ trả phí. Để sử dụng khách hàng phải chi 1-5 triệu đồng hoặc thuê theo tháng để sử dụng.
Nhóm người săn lùng loại mã độc nguy hiểm nhất thế giới công nghệ
Trong quyển sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của những chuyên gia công nghệ toàn cầu, chống lại kẻ đứng sau ransomware.
Những mẫu smartwatch cho người bắt đầu luyện tập
19:01 27/6/2023 19:01 27/6/2023 Công nghệ Gadget
0
Với khả năng đo đạc thông số, theo dõi quãng đường và tình trạng sức khỏe, các mẫu smartwatch là phụ kiện không thể thiếu cho người thích tập thể thao ngoài trời.
Làm gì để tránh bị lừa tình qua mạng
15:02 27/6/2023 15:02 27/6/2023 Công nghệ Internet
0
Để tránh bị lừa đảo tình cảm trực tuyến, người dùng mạng xã hội cần xác minh danh tính đối tác, không giao dịch tài chính, không gửi ảnh nhạy cảm.
Hàng loạt nhóm Facebook đổi tên để bán vé concert BlackPink
16:56 27/6/2023 16:56 27/6/2023 Công nghệ Internet
0
Xuất hiện hàng loạt hội được lập ra để săn, trao đổi vé buổi diễn của BlackPink tại Việt Nam. Trong đó, có nhiều nhóm “phe vé” được tạo sẵn từ trước, mới đổi tên.
Xuân Sang
| Theo: ZINGNEWS.VN |
HOME
Điểm hạn chế của iPhone 15 Pro Max
Thợ Việt độ 2 sim vật lý cho iPhone 15 khóa mạng Mỹ
Meta công khai thuật toán gây nghiện trên Facebook, Instagram
Những lỗ đen lớn gấp hàng triệu lần Mặt Trời bẻ cong không gian
Nvidia, AMD sắp hứng đòn từ lệnh cấm mới của Mỹ