Cụ thể, anh Trần Văn Hòa, một thành viên của group SEM Vietnam, do nghi ngờ Cốc Cốc thu thập thông tin người dùng, đã thực nghiệm bằng cách bật phần mềm kiểm tra request trên máy tính thì thấy Cốc Cốc có gửi lên server đoạn POST trong đó có chứa cookies tài khoản vừa đăng nhập lên domain:
https://spell.itim.vn; Kiểm tra domain thì thấy đơn vị chủ quản là Công ty TNHH Cốc Cốc và cookies đăng nhập chính là tài khoản Facebook.
Không chỉ tài khoản Trần Văn Hòa, trước đó một vài thành viên của SEM Việt Nam cũng cảnh báo cộng đồng làm Affiliate Marketing (tiếp thị liên kết) rằng tiện ích Rủng Rỉnh trên trình duyệt Cốc Cốc lấy đường link và cookies của khách hàng.
Lỗ hổng bảo mật của Cốc Cốc cho thấy các add-on bất kỳ có thể lợi dụng làm lộ thông tin truy cập web của người dùng
Thông tin này làm người dùng khá lo lắng về việc lộ lọt dữ liệu cá nhân khi sử dụng trình duyệt Cốc Cốc. Trước cáo buộc này, ông Hiếu Phan, Trưởng nhóm phát triển Trình duyệt Cốc Cốc lên tiếng khẳng định không thu thập thông tin tài khoản Facebook cũng như bất cứ thông tin cá nhân nào của người dùng.
Phản hồi của Cốc Cốc cho rằng lỗi trên là kết hợp cả 2 phía: do người dùng sử dụng đồng thời add-on Ninja Fast Login Facebook, phần mềm sử dụng cookies người dùng đã copy để đơn giản hóa việc đăng nhập vào Facebook, và tính năng kiểm tra lỗi chính tả spell checker của Cốc Cốc.
Cốc Cốc khuyến cáo người dùng không nên sử dụng Ninja Fast Login Facebook hoặc tắt tính năng kiểm tra lỗi chính tả trên trình duyệt Cốc Cốc, cho tới khi Cốc Cốc khắc phục được vấn đề này.
Tuy nhiên sau đó, anh Trần Văn Hoà đã đăng đính chính trên group SEM Việt Nam và nói rằng đây là một nhầm lần. Do Cốc Cốc thực hiện gửi nội dung về website để kiểm tra lỗi chính tả, anh Hoà đã nhầm lẫn copy cookie Facebook của mình bằng add-on nên Cốc Cốc đã gửi về trang web để kiểm tra.
Cookie là nơi lưu trữ mọi thao tác người dùng thực hiện trên trình duyệt web bao gồm lịch sử, mật khẩu, tên đăng nhập... Các thông tin sẽ được lưu dưới dạng cặp tên – giá trị (name-value).
Mỗi website có thể tạo một số ID duy nhất cho mỗi khách truy cập và lưu số ID đó trên mỗi máy tính người dùng bằng một file cookie. Nếu sở hữu cookie lưu thông tin truy cập tài khoản Facebook, bất kỳ ai cũng có thể vào Facebook của người khác mà không cần phải có mật khẩu, tên đăng nhập hoặc xác thực hai bước.
Anh Nam Lê, admin của nhóm SEM Vietnam cho rằng tuy anh Hoà nhầm lẫn nhưng nhờ có add-on của anh Hoà mà phát hiện được lỗ hổng bảo mật của Cốc Cốc, nên Cốc Cốc vẫn cần phải khẩn trương xử lý khắc phục.