اطلاعات ۲.۶ میلیون کاربر Duolingo به صورت عمومی فاش شد

دولینگو بزرگترین وب‌سایت و اپلیکیشن آموزش زبان در جهان با بیش از ۷۴ میلیون کاربر ماهانه است. طبق گزارش Bleeping Computer، اطلاعات شخصی فاش شده کاربران دولینگو به هکرها اجازه می‌دهد تا حملات فیشینگ هدفمند انجام دهند.

در ژانویه ۲۰۲۳، یک حساب کاربری در یک انجمن هکرها، داده‌های جمع‌آوری‌شده از ۲.۶ میلیون کاربر Duolingo را به قیمت ۱۵۰۰ دلار فروخت و از آن زمان، این انجمن تعطیل شده است.

این داده‌ها شامل اطلاعات ورود به سیستم، نام‌های واقعی و اطلاعات غیرعمومی، از جمله آدرس‌های ایمیل و اطلاعات داخلی مربوط به سرویس Duolingo است. در حالی که پروفایل‌های کاربران Duolingo نام‌های واقعی و نام‌های کاربری را به صورت عمومی نمایش می‌دهند، آدرس‌های ایمیل ناشناس هستند.

دولینگو در گفتگو با TheRecord تأیید کرد که داده‌های جمع‌آوری‌شده و فروخته‌شده از سوابق عمومی گرفته شده است و این سرویس در حال بررسی این موضوع است که آیا اقدامات احتیاطی بیشتری را انجام دهد یا خیر. با این حال، دولینگو اشاره‌ای به این نکرد که آدرس‌های ایمیل نیز در داده‌ها ذکر شده‌اند.

دیروز داده‌های ۲.۶ میلیون کاربر در نسخه جدید انجمن هکرها با قیمت تنها ۲.۱۳ دلار منتشر شد. این داده‌ها با استفاده از یک رابط برنامه‌نویسی کاربردی (API) جمع‌آوری شده است که از مارس ۲۰۲۳ به صورت عمومی به اشتراک گذاشته شده است.

این API دولینگو به هر کسی اجازه می‌دهد تا درخواستی برای اطلاعات پروفایل عمومی کاربر ارسال کند. با این حال، می‌توان یک آدرس ایمیل به API ارائه داد و تأیید کرد که آیا آن آدرس با یک حساب دولینگو مرتبط است یا خیر.

BleepingComputer اعلام کرد که این API حتی پس از گزارش سوءاستفاده از آن به Duolingo در ژانویه، همچنان در دسترس عموم باقی مانده است.

احتمالاً هکر میلیون‌ها آدرس ایمیل - که احتمالاً در نقض‌های اطلاعاتی قبلی افشا شده‌اند - را به API داده است تا ببیند آیا آنها متعلق به حساب‌های Duolingo هستند یا خیر. سپس از این آدرس‌های ایمیل برای ایجاد یک مجموعه داده حاوی اطلاعات عمومی و غیرعمومی استفاده شده است.

شرکت‌ها تمایل دارند داده‌های جمع‌آوری‌شده را دور بریزند زیرا بیشتر آنها از قبل عمومی هستند. با این حال، وقتی داده‌های عمومی با داده‌های خصوصی مانند شماره تلفن و آدرس ایمیل مخلوط می‌شوند، اطلاعات افشا شده را خطرناک‌تر کرده و به طور بالقوه قوانین حفاظت از داده‌ها را نقض می‌کنند.

در سال ۲۰۲۱، فیس‌بوک پس از سوءاستفاده از API «افزودن دوست» خود برای پیوند دادن شماره تلفن‌ها به حساب‌های فیس‌بوک ۵۳۳ میلیون کاربر، دچار نقض گسترده داده‌ها شد. کمیسیون حفاظت از داده‌های ایرلند (DPC) فیس‌بوک را به دلیل ایجاد نقض داده‌ها ۲۶۵ میلیون یورو (۲۷۵.۵ میلیون دلار) جریمه کرد. اخیراً از یک اشکال در API توییتر برای جمع‌آوری داده‌های عمومی و آدرس‌های ایمیل میلیون‌ها کاربر استفاده شده بود که منجر به تحقیقات DPC شد. دولینگو هنوز توضیح نداده است که چرا API خود را پس از گزارش‌های سوءاستفاده، برای همه باز گذاشته است.