2.6 मिलियन डुओलिंगो उपयोगकर्ताओं का डेटा सार्वजनिक रूप से लीक हो गया

डुओलिंगो दुनिया की सबसे बड़ी भाषा सीखने वाली वेबसाइट और ऐप है जिसके 74 मिलियन से ज़्यादा मासिक उपयोगकर्ता हैं। ब्लीपिंग कंप्यूटर के अनुसार, डुओलिंगो उपयोगकर्ताओं का लीक हुआ व्यक्तिगत डेटा हैकर्स को लक्षित फ़िशिंग हमले करने में सक्षम बना सकता है।

जनवरी 2023 में, एक हैकर फोरम पर एक खाते ने 2.6 मिलियन डुओलिंगो उपयोगकर्ताओं से एकत्र किए गए डेटा को $1,500 में बेच दिया, और तब से फोरम को बंद कर दिया गया है।

इस डेटा में लॉगिन क्रेडेंशियल, असली नाम और गैर-सार्वजनिक जानकारी शामिल है, जिसमें ईमेल पते और डुओलिंगो की सेवा से संबंधित आंतरिक जानकारी शामिल है। हालाँकि डुओलिंगो उपयोगकर्ता प्रोफ़ाइल में असली नाम और लॉगिन नाम सार्वजनिक रूप से प्रदर्शित होते हैं, लेकिन ईमेल पते गुमनाम रहते हैं।

डुओलिंगो ने दरिकॉर्ड को पुष्टि की कि एकत्रित और बेचा गया डेटा सार्वजनिक रिकॉर्ड से लिया गया था, और सेवा इस बात की जाँच कर रही है कि क्या आगे कोई और सावधानी बरतनी चाहिए। हालाँकि, डुओलिंगो ने यह नहीं बताया कि डेटा में ईमेल पते भी सूचीबद्ध थे।

कल हैकर फ़ोरम के नए संस्करण पर 2.6 मिलियन उपयोगकर्ताओं का डेटा केवल $2.13 में जारी किया गया। यह डेटा एक एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (API) का उपयोग करके एकत्र किया गया था, जिसे मार्च 2023 से सार्वजनिक रूप से साझा किया जा रहा है।

यह डुओलिंगो एपीआई किसी भी व्यक्ति को किसी उपयोगकर्ता की सार्वजनिक प्रोफ़ाइल जानकारी प्राप्त करने के लिए अनुरोध सबमिट करने की अनुमति देता है। हालाँकि, एपीआई को एक ईमेल पता प्रदान करना और यह पुष्टि करना भी संभव है कि वह पता किसी डुओलिंगो खाते से जुड़ा है या नहीं।

ब्लीपिंगकंप्यूटर ने कहा कि जनवरी में डुओलिंगो को इसके दुरुपयोग की सूचना दिए जाने के बाद भी एपीआई सार्वजनिक रूप से उपलब्ध रहा।

यह संभव है कि हैकर ने लाखों ईमेल पते—जो संभवतः पिछले डेटा उल्लंघनों में उजागर हुए थे—को एपीआई में डाल दिया हो ताकि यह पता लगाया जा सके कि वे डुओलिंगो खातों से संबंधित हैं या नहीं। फिर इन ईमेल पतों का इस्तेमाल सार्वजनिक और गैर-सार्वजनिक जानकारी वाला एक डेटासेट बनाने के लिए किया गया।

कंपनियाँ एकत्रित डेटा को अक्सर नष्ट कर देती हैं, क्योंकि इसका अधिकांश भाग पहले से ही सार्वजनिक होता है। हालाँकि, जब सार्वजनिक डेटा को फ़ोन नंबर और ईमेल पते जैसे निजी डेटा के साथ मिला दिया जाता है, तो यह जानकारी को और भी जोखिम भरा बना देता है और संभावित रूप से डेटा सुरक्षा कानूनों का उल्लंघन करता है।

2021 में, फेसबुक को अपने "ऐड फ्रेंड" एपीआई का दुरुपयोग करके 53.3 करोड़ उपयोगकर्ताओं के फेसबुक अकाउंट से फ़ोन नंबर जोड़ने के लिए एक बड़े डेटा उल्लंघन का सामना करना पड़ा। आयरिश डेटा प्रोटेक्शन कमीशन (DPC) ने इस उल्लंघन के लिए फेसबुक पर €26.5 करोड़ ($27.55 करोड़) का जुर्माना लगाया। हाल ही में ट्विटर के एपीआई में एक बग का इस्तेमाल लाखों उपयोगकर्ताओं के सार्वजनिक डेटा और ईमेल पतों को चुराने के लिए किया गया था, जिसके कारण DPC ने इसकी जाँच की। डुओलिंगो ने अभी तक यह स्पष्ट नहीं किया है कि दुरुपयोग की रिपोर्ट मिलने के बाद भी उसने एपीआई को सभी के लिए खुला क्यों रखा।