Duolingo दुनिया की सबसे बड़ी भाषा सीखने वाली वेबसाइट और ऐप है, जिसके 74 मिलियन से अधिक मासिक उपयोगकर्ता हैं। Bleeping Computer के अनुसार, Duolingo उपयोगकर्ताओं के व्यक्तिगत डेटा के लीक होने से हैकर्स लक्षित फ़िशिंग हमलों को अंजाम दे सकते हैं।
जनवरी 2023 में, एक हैकर फोरम पर एक खाते ने 2.6 मिलियन डुओलिंगो उपयोगकर्ताओं से एकत्रित डेटा को 1,500 डॉलर में बेच दिया; फोरम ने तब से अपना संचालन बंद कर दिया है।
इस डेटा में लॉगिन जानकारी, वास्तविक नाम, साथ ही ईमेल पते और डुओलिंगो सेवा से संबंधित आंतरिक जानकारी जैसी गैर-सार्वजनिक जानकारी शामिल है। डुओलिंगो उपयोगकर्ता प्रोफाइल में वास्तविक नाम और लॉगिन नाम सार्वजनिक रूप से प्रदर्शित होते हैं, जबकि ईमेल पते गोपनीय रखे जाते हैं।
विज्ञापन में 26 लाख डुओलिंगो उपयोगकर्ता डेटा रिकॉर्ड को 1500 डॉलर में बेचने की पेशकश की गई थी।
Duolingo ने TheRecord को पुष्टि की कि एकत्र किया गया और बेचा गया डेटा सार्वजनिक प्रोफाइल से लिया गया था, और सेवा इस बात की जांच कर रही है कि क्या उसे निवारक उपाय करने चाहिए। हालांकि, Duolingo ने इस तथ्य का उल्लेख नहीं किया कि डेटा में ईमेल पते भी शामिल थे।
कल हैकर फोरम के एक नए संस्करण पर 2.6 मिलियन उपयोगकर्ताओं का डेटा मात्र 2.13 डॉलर में जारी किया गया। यह डेटा मार्च 2023 से सार्वजनिक रूप से साझा किए गए एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) का उपयोग करके एकत्र किया गया था।
यह डुओलिंगो एपीआई लोगों को उपयोगकर्ताओं की सार्वजनिक प्रोफ़ाइल जानकारी तक पहुंच प्रदान करने की अनुमति देता है। हालांकि, एपीआई को ईमेल पता प्रदान करके यह सत्यापित करना भी संभव है कि क्या वह पता डुओलिंगो खाते से जुड़ा हुआ है।
ब्लीपिंगकंप्यूटर ने बताया कि जनवरी में डुओलिंगो को इसके दुरुपयोग की सूचना मिलने के बाद भी यह एपीआई सार्वजनिक रूप से उपलब्ध रहा।
यह संभव है कि हैकर ने लाखों ईमेल पते—संभवतः पिछले डेटा लीक में सामने आए—एपीआई में डाले हों ताकि यह पता लगाया जा सके कि वे डुओलिंगो खातों से संबंधित हैं या नहीं। फिर इन ईमेल पतों का उपयोग सार्वजनिक और गैर-सार्वजनिक दोनों प्रकार की जानकारी वाले डेटासेट बनाने के लिए किया गया।
हैकर्स ने बेहद कम कीमत पर 26 लाख डुओलिंगो उपयोगकर्ताओं का डेटा दोबारा अपलोड कर दिया।
कंपनियां आमतौर पर एकत्रित डेटा को नष्ट कर देती हैं, क्योंकि इसका अधिकांश भाग पहले से ही सार्वजनिक रूप से उपलब्ध होता है। हालांकि, जब सार्वजनिक रूप से उपलब्ध डेटा को निजी डेटा जैसे कि फोन नंबर और ईमेल पते के साथ मिला दिया जाता है, तो इससे सूचना लीक होने का खतरा बढ़ जाता है और डेटा सुरक्षा कानूनों का उल्लंघन होने की संभावना भी बढ़ जाती है।
2021 में, फेसबुक को भारी डेटा लीक का सामना करना पड़ा जब उसके "ऐड फ्रेंड" एपीआई का दुरुपयोग करके 533 मिलियन उपयोगकर्ताओं के फोन नंबरों को फेसबुक खातों से जोड़ दिया गया। आयरिश डेटा प्रोटेक्शन कमीशन (डीपीसी) ने इस डेटा लीक के लिए फेसबुक पर €265 मिलियन ($275.5 मिलियन) का जुर्माना लगाया। हाल ही में, ट्विटर के एपीआई में एक खामी का फायदा उठाकर लाखों उपयोगकर्ताओं के सार्वजनिक रूप से उपलब्ध डेटा और ईमेल पते तक पहुंच बनाई गई, जिसके चलते डीपीसी ने जांच शुरू की। डुओलिंगो ने अभी तक यह स्पष्ट नहीं किया है कि दुरुपयोग की रिपोर्ट के बावजूद उसने इस एपीआई को सार्वजनिक रूप से सुलभ क्यों रहने दिया।
[विज्ञापन_2]
स्रोत लिंक
टिप्पणी (0)