Duolingo เป็นเว็บไซต์และแอปเรียนภาษาที่ใหญ่ที่สุดในโลก โดยมีผู้ใช้มากกว่า 74 ล้านคนต่อเดือน ตามรายงานของ Bleeping Computer ข้อมูลส่วนบุคคลของผู้ใช้ Duolingo ที่รั่วไหลจะทำให้แฮกเกอร์สามารถโจมตีแบบฟิชชิ่งได้
ในเดือนมกราคม พ.ศ. 2566 บัญชีในฟอรัมแฮ็กเกอร์ได้ขายข้อมูลที่รวบรวมจากผู้ใช้ Duolingo กว่า 2.6 ล้านคนในราคา 1,500 ดอลลาร์ และฟอรัมดังกล่าวก็ถูกปิดไปแล้ว
ข้อมูลนี้รวมถึงข้อมูลรับรองการเข้าสู่ระบบ ชื่อจริง และข้อมูลที่ไม่เปิดเผยต่อสาธารณะ เช่น ที่อยู่อีเมล และข้อมูลภายในที่เกี่ยวข้องกับบริการของ Duolingo แม้ว่าโปรไฟล์ผู้ใช้ Duolingo จะแสดงชื่อจริงและชื่อเข้าสู่ระบบต่อสาธารณะ แต่ที่อยู่อีเมลจะไม่ระบุตัวตน
Ad ขายข้อมูลผู้ใช้ Duolingo 2.6 ล้านรายการในราคา 1,500 เหรียญสหรัฐ
Duolingo ยืนยันกับ TheRecord ว่าข้อมูลที่รวบรวมและขายนั้นนำมาจากบันทึกสาธารณะ และทางบริการกำลังสืบสวนว่าจะใช้มาตรการป้องกันเพิ่มเติมหรือไม่ อย่างไรก็ตาม Duolingo ไม่ได้ระบุว่ามีการระบุที่อยู่อีเมลในข้อมูลดังกล่าวด้วย
ข้อมูลจากผู้ใช้ 2.6 ล้านคนได้รับการเผยแพร่เมื่อวานนี้บนฟอรัมแฮ็กเกอร์เวอร์ชันใหม่ด้วยราคาเพียง 2.13 ดอลลาร์ ข้อมูลดังกล่าวได้รับการรวบรวมโดยใช้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ที่แชร์ต่อสาธารณะตั้งแต่เดือนมีนาคม 2023
API ของ Duolingo นี้อนุญาตให้ทุกคนส่งคำขอเพื่อเรียกค้นข้อมูลโปรไฟล์สาธารณะของผู้ใช้ อย่างไรก็ตาม คุณยังสามารถระบุที่อยู่อีเมลให้กับ API และยืนยันว่าที่อยู่อีเมลนั้นเชื่อมโยงกับบัญชี Duolingo หรือไม่
BleepingComputer กล่าวว่า API ยังคงเปิดเผยต่อสาธารณะแม้ว่าจะมีการรายงานการละเมิดต่อ Duolingo ในเดือนมกราคมก็ตาม
เป็นไปได้ที่แฮกเกอร์จะป้อนที่อยู่อีเมลหลายล้านรายการลงใน API ซึ่งน่าจะเปิดเผยในเหตุการณ์ละเมิดข้อมูลก่อนหน้านี้ เพื่อดูว่าเป็นของบัญชี Duolingo หรือไม่ จากนั้นจึงใช้ที่อยู่อีเมลเหล่านี้เพื่อสร้างชุดข้อมูลที่มีข้อมูลสาธารณะและข้อมูลที่ไม่เปิดเผยต่อสาธารณะ
แฮกเกอร์อัปโหลดข้อมูลผู้ใช้ Duolingo 2.6 ล้านคนอีกครั้งด้วยราคาถูกมาก
บริษัทต่างๆ มักจะทิ้งข้อมูลที่รวบรวมไว้ เนื่องจากข้อมูลส่วนใหญ่เปิดเผยต่อสาธารณะอยู่แล้ว อย่างไรก็ตาม เมื่อข้อมูลสาธารณะถูกผสมกับข้อมูลส่วนตัว เช่น หมายเลขโทรศัพท์และที่อยู่อีเมล ข้อมูลที่เปิดเผยจะมีความเสี่ยงมากขึ้น และอาจละเมิดกฎหมายคุ้มครองข้อมูลได้
ในปี 2021 Facebook ประสบปัญหาการละเมิดข้อมูลครั้งใหญ่หลังจากมีการใช้ API "Add Friend" ในทางที่ผิดเพื่อเชื่อมโยงหมายเลขโทรศัพท์กับบัญชี Facebook ของผู้ใช้ 533 ล้านคน คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ปรับ Facebook เป็นเงิน 265 ล้านยูโร (275.5 ล้านดอลลาร์) เนื่องจากก่อให้เกิดการละเมิดดังกล่าว ข้อบกพร่องล่าสุดใน API ของ Twitter ถูกใช้เพื่อรวบรวมข้อมูลสาธารณะและที่อยู่อีเมลของผู้ใช้หลายล้านคน ส่งผลให้ DPC ดำเนินการสอบสวน Duolingo ยังไม่ได้อธิบายว่าเหตุใดจึงปล่อยให้ API เปิดให้ทุกคนใช้งานได้หลังจากได้รับรายงานการละเมิด
ลิงค์ที่มา
![[ภาพ] ศิลปินคิวบาขน "ปาร์ตี้" ของการแสดงบัลเล่ต์คลาสสิกจากทั่วโลกมาที่เวียดนาม](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/26/797945d5d20b4693bc3f245e69b6142c)
การแสดงความคิดเห็น (0)