২.৬ মিলিয়ন ডুওলিঙ্গো ব্যবহারকারীর তথ্য প্রকাশ্যে ফাঁস

ডুওলিঙ্গো বিশ্বের বৃহত্তম ভাষা শেখার ওয়েবসাইট এবং অ্যাপ যার মাসিক ব্যবহারকারীর সংখ্যা ৭৪ মিলিয়নেরও বেশি। ব্লিপিং কম্পিউটারের মতে, ডুওলিঙ্গো ব্যবহারকারীদের ফাঁস হওয়া ব্যক্তিগত তথ্য হ্যাকারদের লক্ষ্যবস্তুতে ফিশিং আক্রমণ চালানোর সুযোগ করে দেবে।

২০২৩ সালের জানুয়ারিতে, একটি হ্যাকার ফোরামের একটি অ্যাকাউন্ট ২.৬ মিলিয়ন ডুওলিঙ্গো ব্যবহারকারীর কাছ থেকে সংগৃহীত তথ্য ১,৫০০ ডলারে বিক্রি করে এবং এরপর থেকে ফোরামটি বন্ধ করে দেওয়া হয়।

এই তথ্যে লগইন শংসাপত্র, আসল নাম এবং অ-সর্বজনীন তথ্য অন্তর্ভুক্ত রয়েছে, যার মধ্যে ইমেল ঠিকানা এবং ডুওলিঙ্গোর পরিষেবা সম্পর্কিত অভ্যন্তরীণ তথ্য অন্তর্ভুক্ত রয়েছে। ডুওলিঙ্গো ব্যবহারকারীর প্রোফাইলগুলি প্রকাশ্যে আসল নাম এবং লগইন নাম প্রদর্শন করলেও, ইমেল ঠিকানাগুলি বেনামে রাখা হয়।

ডুওলিঙ্গো দ্য রেকর্ডকে নিশ্চিত করেছে যে সংগৃহীত এবং বিক্রি করা তথ্য পাবলিক রেকর্ড থেকে নেওয়া হয়েছে এবং পরিষেবাটি আরও সতর্কতা অবলম্বন করা উচিত কিনা তা তদন্ত করছে। তবে, ডুওলিঙ্গো উল্লেখ করেনি যে ডেটাতে ইমেল ঠিকানাগুলিও তালিকাভুক্ত ছিল।

গতকাল হ্যাকার ফোরামের একটি নতুন সংস্করণে ২.১৩ ডলারে ২.৬ মিলিয়ন ব্যবহারকারীর তথ্য প্রকাশ করা হয়েছে। তথ্যটি একটি অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (API) ব্যবহার করে সংগ্রহ করা হয়েছে যা ২০২৩ সালের মার্চ থেকে সর্বজনীনভাবে ভাগ করা হচ্ছে।

এই Duolingo API ব্যবহারকারীর পাবলিক প্রোফাইল তথ্যের জন্য যে কেউ অনুরোধ জমা দিতে পারে। তবে, API-তে একটি ইমেল ঠিকানা প্রদান করা এবং সেই ঠিকানাটি Duolingo অ্যাকাউন্টের সাথে সম্পর্কিত কিনা তা নিশ্চিত করাও সম্ভব।

ব্লিপিংকম্পিউটার জানিয়েছে যে জানুয়ারিতে ডুওলিঙ্গোতে এর অপব্যবহারের প্রতিবেদন করার পরেও API জনসাধারণের জন্য উপলব্ধ ছিল।

সম্ভবত হ্যাকার লক্ষ লক্ষ ইমেল ঠিকানা - সম্ভবত পূর্ববর্তী ডেটা লঙ্ঘনের সময় প্রকাশিত - API-তে পাঠিয়েছে যাতে দেখা যায় যে সেগুলি Duolingo অ্যাকাউন্টের কিনা। এই ইমেল ঠিকানাগুলি তখন পাবলিক এবং অ-পাবলিক উভয় তথ্য ধারণকারী একটি ডেটাসেট তৈরি করতে ব্যবহার করা হয়েছিল।

কোম্পানিগুলি সংগৃহীত তথ্য বাতিল করার প্রবণতা রাখে কারণ এর বেশিরভাগই ইতিমধ্যেই জনসাধারণের কাছে থাকে। তবে, যখন জনসাধারণের তথ্য ফোন নম্বর এবং ইমেল ঠিকানার মতো ব্যক্তিগত তথ্যের সাথে মিশ্রিত করা হয়, তখন এটি তথ্য প্রকাশকে আরও ঝুঁকিপূর্ণ করে তোলে এবং সম্ভাব্যভাবে ডেটা সুরক্ষা আইন লঙ্ঘন করে।

২০২১ সালে, ৫৩৩ মিলিয়ন ব্যবহারকারীর ফেসবুক অ্যাকাউন্টের সাথে ফোন নম্বর লিঙ্ক করার জন্য "অ্যাড ফ্রেন্ড" API অপব্যবহারের পর ফেসবুক ব্যাপক ডেটা লঙ্ঘনের শিকার হয়। আয়ারল্যান্ডের ডেটা প্রোটেকশন কমিশন (DPC) ডেটা লঙ্ঘনের জন্য ফেসবুককে ২৬৫ মিলিয়ন ইউরো ($২৭৫.৫ মিলিয়ন) জরিমানা করেছে। টুইটারের API-তে সাম্প্রতিক একটি বাগ লক্ষ লক্ষ ব্যবহারকারীর পাবলিক ডেটা এবং ইমেল ঠিকানা স্ক্র্যাপ করার জন্য ব্যবহার করা হয়েছিল, যার ফলে DPC তদন্ত শুরু হয়েছিল। অপব্যবহারের রিপোর্টের পর ডুয়োলিঙ্গো এখনও ব্যাখ্যা করেনি কেন তারা তাদের API সকলের জন্য উন্মুক্ত রেখেছিল।