Phần mềm quản lý Facebook bị nghi lấy cắp dữ liệu

Công cụ ATP Cookie, được dùng nhiều trong giới MMO (kiếm tiền online) Việt Nam bị nghi ngờ lấy dữ liệu cá nhân của khách hàng, gửi về máy chủ.

Chuyên gia của dự án bảo mật trực tuyến Chongluadao.vn phát hiện hoạt động thu thập dữ liệu cookie bất thường trên công cụ của ATP Software. Phần mềm này là một ứng dụng mở rộng phổ biến, được sử dụng rộng rãi bởi người quản lý của nhiều fanpage, dân MMO (kiếm tiền online) tại Việt Nam.

Ban đầu, ATP Software giải thích rằng việc lấy dữ liệu này để phục vụ thủ thuật SEO (tối ưu hóa tìm kiếm), quảng cáo hiệu quả. Tuy nhiên, lời biện hộ này bị các chuyên gia bảo mật cho rằng có nhiều lỗ hổng.

Âm thầm thu thập dữ liệu

Theo nghiên cứu của ông Chí, sau khi người dùng cài đặt Extension này vào trình duyệt và cấp quyền hoạt động, nó sẽ tự động khởi tạo và khai thác cookie đăng nhập tài khoản Facebook, Zalo. Cookie là các tệp do trang web tạo ra. Nó lưu những thông tin liên quan đến cá nhân như tài khoản đăng nhập, để sử dụng cho lần sau.

Tuy nhiên, hành vi thu thập dữ liệu của phần mềm ATP là bất thường bởi công cụ lấy dữ liệu đăng nhập của nhiều tài khoản khác trên trình duyệt người dùng, bên cạnh website làm việc là Facebook. Ngoài ra, việc Extension được thiết kế để đóng gói phần dữ liệu nhạy cảm này, gửi về máy chủ, tiềm ẩn nhiều nguy cơ an toàn bảo mật thông tin.

Chuyên gia bảo mật Ngô Minh Hiếu (Hiếu PC), cho rằng việc một phần mềm mở rộng âm thầm lấy dữ liệu đăng nhập, đưa về máy chủ là không cần thiết, ảnh hưởng đến quyền lợi cá nhân của khách hàng.

“Gửi token, cookie đăng nhập của người dùng về máy chủ là hành vi không được khuyến khích trong đảm bảo an toàn thông tin. Dữ liệu này hoàn toàn có thể được xử lý ngay trên client-side (trang dịch vụ) thông qua Extension”, đại diện Chongluadao.vn chia sẻ.

Ngoài ra, phần công cụ mở rộng do ATP Software phát triển không phải phần mềm được Google xét duyệt. Để cài đặt, người dùng phải tải tập ngoài, cài đặt trong chế độ nhà phát triển.

Lời giải thích của ATP Software

Sau khi thông tin nói trên được công bố đến cộng đồng, phía ATP Software giải thích qua email rằng việc gửi dữ liệu về máy chủ nhằm mục đích SEO và quảng bá thêm sản phẩm của công ty này đến người dùng, qua website.

Tuy nhiên, chuyên gia bảo mật của Chongluadao.vn, cho rằng lời giải thích của phía nhà phát triển thiếu bằng chứng. Theo đó, phần dữ liệu được thu thập có thể bị sử dụng, mua bán khó kiểm soát. Ngoài ra, bằng chứng hiện tại cho thấy việc lưu trữ dữ liệu cookie người dùng trên máy chủ là vi phạm pháp luật Việt Nam,

Phía ATP Software gửi email phản hồi về vấn đề bảo mật nói trên. Đại diện doanh nghiệp nhận lỗi trong việc thiết kế phần mềm, tự động truy cập và lưu lịch sử truy cập của khách hàng. “Một phần vấn đề do đội ngũ ATP thiếu kiến thức bảo mật và quản trị server, dẫn đến việc không nắm bắt được vấn đề. Tuy nhiên, chúng tôi không có đoạn mã nào được đưa vào với chủ đích lưu lại cookie của khách hàng”, phía công ty phần mềm phản hồi.

Đơn vị này cho biết họ sẽ sớm cập nhật, sửa lỗi phiên bản phần mềm nói trên để khắc phục vấn đề. Đồng thời, công ty khuyến cáo người dùng nên gỡ bỏ ứng dụng hiện có trên trình duyệt để tránh nguy cơ về bảo mật.

Thực tế, các phần mềm của công ty này phần lớn là dịch vụ trả phí. Để sử dụng khách hàng phải chi 1-5 triệu đồng hoặc thuê theo tháng để sử dụng.