डुओलिंगो दुनिया की सबसे बड़ी भाषा सीखने वाली वेबसाइट और ऐप है जिसके 74 मिलियन से ज़्यादा मासिक उपयोगकर्ता हैं। ब्लीपिंग कंप्यूटर के अनुसार, डुओलिंगो उपयोगकर्ताओं का लीक हुआ व्यक्तिगत डेटा हैकर्स को लक्षित फ़िशिंग हमले करने में सक्षम बना सकता है।
जनवरी 2023 में, एक हैकर फोरम पर एक खाते ने 2.6 मिलियन डुओलिंगो उपयोगकर्ताओं से एकत्र किए गए डेटा को $1,500 में बेच दिया, और तब से फोरम को बंद कर दिया गया है।
इस डेटा में लॉगिन क्रेडेंशियल, असली नाम और गैर-सार्वजनिक जानकारी शामिल है, जिसमें ईमेल पते और डुओलिंगो की सेवा से संबंधित आंतरिक जानकारी शामिल है। हालाँकि डुओलिंगो उपयोगकर्ता प्रोफ़ाइल में असली नाम और लॉगिन नाम सार्वजनिक रूप से प्रदर्शित होते हैं, लेकिन ईमेल पते गुमनाम रहते हैं।
विज्ञापन में 2.6 मिलियन डुओलिंगो उपयोगकर्ता डेटा को $1,500 में बेचा जा रहा है
डुओलिंगो ने दरिकॉर्ड को पुष्टि की कि एकत्रित और बेचा गया डेटा सार्वजनिक रिकॉर्ड से लिया गया था, और सेवा इस बात की जाँच कर रही है कि क्या आगे कोई और सावधानी बरतनी चाहिए। हालाँकि, डुओलिंगो ने यह नहीं बताया कि डेटा में ईमेल पते भी सूचीबद्ध थे।
कल हैकर फ़ोरम के नए संस्करण पर 2.6 मिलियन उपयोगकर्ताओं का डेटा केवल $2.13 में जारी किया गया। यह डेटा एक एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (API) का उपयोग करके एकत्र किया गया था, जिसे मार्च 2023 से सार्वजनिक रूप से साझा किया जा रहा है।
यह डुओलिंगो एपीआई किसी को भी उपयोगकर्ता की सार्वजनिक प्रोफ़ाइल जानकारी के लिए अनुरोध सबमिट करने की अनुमति देता है। हालाँकि, एपीआई को एक ईमेल पता प्रदान करना और यह पुष्टि करना भी संभव है कि वह पता किसी डुओलिंगो खाते से जुड़ा है या नहीं।
ब्लीपिंगकंप्यूटर ने कहा कि जनवरी में डुओलिंगो को इसके दुरुपयोग की सूचना दिए जाने के बाद भी एपीआई सार्वजनिक रूप से उपलब्ध रहा।
ऐसा लगता है कि हैकर ने लाखों ईमेल पते—जो शायद पिछले डेटा उल्लंघनों में उजागर हुए थे—को एपीआई में डाल दिया ताकि यह पता लगाया जा सके कि वे डुओलिंगो खातों से संबंधित हैं या नहीं। फिर इन ईमेल पतों का इस्तेमाल सार्वजनिक और गैर-सार्वजनिक, दोनों तरह की जानकारी वाला एक डेटासेट बनाने के लिए किया गया।
हैकर ने 2.6 मिलियन डुओलिंगो उपयोगकर्ताओं का डेटा बहुत सस्ते दाम पर पुनः अपलोड किया
कंपनियाँ एकत्रित डेटा को अक्सर नष्ट कर देती हैं क्योंकि उसका अधिकांश हिस्सा पहले से ही सार्वजनिक होता है। हालाँकि, जब सार्वजनिक डेटा को फ़ोन नंबर और ईमेल पते जैसे निजी डेटा के साथ मिला दिया जाता है, तो यह जानकारी को और भी जोखिम भरा बना देता है और संभावित रूप से डेटा सुरक्षा कानूनों का उल्लंघन करता है।
2021 में, फेसबुक को अपने "ऐड फ्रेंड" एपीआई का दुरुपयोग करके 53.3 करोड़ उपयोगकर्ताओं के फेसबुक अकाउंट से फ़ोन नंबर जोड़ने के लिए एक बड़े डेटा उल्लंघन का सामना करना पड़ा। आयरलैंड के डेटा प्रोटेक्शन कमीशन (DPC) ने इस डेटा उल्लंघन के लिए फेसबुक पर 26.5 करोड़ यूरो (27.55 करोड़ डॉलर) का जुर्माना लगाया। हाल ही में ट्विटर के एपीआई में एक बग का इस्तेमाल लाखों उपयोगकर्ताओं के सार्वजनिक डेटा और ईमेल पतों को चुराने के लिए किया गया था, जिसके कारण DPC ने जाँच की। डुओलिंगो ने अभी तक यह स्पष्ट नहीं किया है कि दुरुपयोग की रिपोर्ट आने के बाद भी उसने अपने एपीआई को सभी के लिए खुला क्यों रखा।
[विज्ञापन_2]
स्रोत लिंक
टिप्पणी (0)