Duolingo הוא אתר ואפליקציית למידת שפות הגדולים בעולם , עם למעלה מ-74 מיליון משתמשים חודשיים. על פי Bleeping Computer, דליפת המידע האישי של משתמשי Duolingo עלולה לאפשר להאקרים לבצע התקפות פישינג ממוקדות.
בינואר 2023, חשבון בפורום האקרים מכר נתונים שנאספו מ-2.6 מיליון משתמשי דולינגו תמורת 1,500 דולר; הפורום הפסיק לפעול מאז.
נתונים אלה כוללים פרטי התחברות, שמות אמיתיים, וכן מידע שאינו ציבורי, כולל כתובות דוא"ל ומידע פנימי הקשור לשירות של Duolingo. בעוד שפרופילי משתמשי Duolingo מציגים בפומבי שמות אמיתיים ושמות התחברות, כתובות הדוא"ל נשמרות פרטיות.
הפרסומת הציעה למכור 2.6 מיליון רשומות נתוני משתמשי Duolingo תמורת 1,500 דולר.
דולינגו אישרה ל- TheRecord כי הנתונים שנאספו ונמכרו נלקחו מפרופילים ציבוריים, והשירות בודק האם יש לנקוט באמצעי מניעה. עם זאת, דולינגו לא הזכירה את העובדה שכתובות דוא"ל מופיעות גם בנתונים.
נתונים מ-2.6 מיליון משתמשים פורסמו אתמול בגרסה חדשה של פורום ההאקרים תמורת 2.13 דולר בלבד. נתונים אלה נאספו באמצעות ממשק תכנות יישומים (API) משותף לציבור מאז מרץ 2023.
ממשק ה-API של Duolingo מאפשר לאנשים להגיש גישה למידע הפרופיל הציבורי של המשתמשים. עם זאת, ניתן גם לספק כתובת דוא"ל לממשק ה-API ולוודא אם כתובת זו מקושרת לחשבון Duolingo.
BleepingComputer הצהירה כי ממשק API זה נותר זמין לציבור גם לאחר שדיווחו על שימוש לרעה בו ל-Duolingo בינואר.
סביר להניח שההאקר הזין מיליוני כתובות דוא"ל - שאולי דלפו בפריצות נתונים קודמות - לתוך ה-API כדי לראות אם הן שייכות לחשבונות Duolingo. לאחר מכן נעשה שימוש בכתובות דוא"ל אלו ליצירת מערך נתונים המכיל מידע ציבורי ומידע שאינו ציבורי.
האקרים העלו מחדש את הנתונים של 2.6 מיליון משתמשי Duolingo במחיר נמוך מאוד.
חברות נוטות להשליך נתונים שנאספו, מכיוון שרובם כבר זמינים לציבור. עם זאת, כאשר נתונים זמינים לציבור מעורבבים עם נתונים פרטיים כמו מספרי טלפון וכתובות דוא"ל, הדבר הופך את דליפת המידע למסוכנת יותר ועלול להפר את חוקי הגנת המידע.
בשנת 2021, פייסבוק סבלה מדליפת נתונים מסיבית לאחר ש-API שלה "הוסף חבר" נוצל לרעה כדי לקשר מספרי טלפון לחשבונות פייסבוק של 533 מיליון משתמשים. הוועדה האירית להגנת מידע (DPC) קנסה את פייסבוק בסכום של 265 מיליון אירו (275.5 מיליון דולר) על גרימת דליפת נתונים זו. לאחרונה, פגם ב-API של טוויטר שימש לגישה לנתונים וכתובות דוא"ל זמינים לציבור של מיליוני משתמשים, מה שהוביל לחקירת DPC. דולינגו טרם הסבירה מדוע השאירה את ה-API הזה נגיש לציבור למרות דיווחים על שימוש לרעה.
[מודעה_2]
קישור למקור
![[תמונה] המזכיר הכללי והנשיא טו לאם מנהל פגישה בנושא הכנות לסקירת שנת פעילות של מערכת הממשל התלת-שכבתית.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/02/1780391821195_a1-bnd-4595-9717-jpg.webp)
תגובה (0)