ข้อมูลจากผู้ใช้ Duolingo จำนวน 2.6 ล้านคนถูกรั่วไหลสู่สาธารณะ

[โฆษณา_1]

Duolingo เป็นเว็บไซต์และแอปพลิเคชันเรียนภาษาที่ใหญ่ที่สุด ในโลก มีผู้ใช้งานมากกว่า 74 ล้านคนต่อเดือน ตามรายงานของ Bleeping Computer การรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้ Duolingo อาจทำให้แฮกเกอร์สามารถทำการโจมตีแบบฟิชชิ่ง (phishing) ที่มุ่งเป้าหมายได้อย่างแม่นยำ

ในเดือนมกราคม 2023 บัญชีผู้ใช้ในฟอรัมของแฮกเกอร์ได้ขายข้อมูลที่รวบรวมจากผู้ใช้ Duolingo จำนวน 2.6 ล้านคนในราคา 1,500 ดอลลาร์สหรัฐฯ ฟอรัมดังกล่าวได้ปิดตัวลงแล้วตั้งแต่นั้นมา

ข้อมูลนี้ประกอบด้วยข้อมูลการเข้าสู่ระบบ ชื่อจริง รวมถึงข้อมูลที่ไม่เปิดเผยต่อสาธารณะ เช่น ที่อยู่อีเมล และข้อมูลภายในที่เกี่ยวข้องกับบริการของ Duolingo แม้ว่าโปรไฟล์ผู้ใช้ Duolingo จะแสดงชื่อจริงและชื่อผู้ใช้ต่อสาธารณะ แต่ที่อยู่อีเมลจะถูกเก็บเป็นความลับ

Dữ liệu 2,6 triệu người dùng Duolingo bị phát tán công khai - Ảnh 1. — โฆษณาชิ้นนั้นเสนอขายข้อมูลผู้ใช้ Duolingo จำนวน 2.6 ล้านรายการ ในราคา 1,500 ดอลลาร์สหรัฐ

Duolingo ยืนยันกับ TheRecord ว่าข้อมูลที่ถูกรวบรวมและจำหน่ายนั้นมาจากโปรไฟล์สาธารณะ และทางบริการกำลังตรวจสอบว่าควรใช้มาตรการป้องกันใด ๆ หรือไม่ อย่างไรก็ตาม Duolingo ไม่ได้กล่าวถึงข้อเท็จจริงที่ว่าที่อยู่อีเมลก็ถูกรวมอยู่ในข้อมูลนั้นด้วย

เมื่อวานนี้มีการเผยแพร่ข้อมูลจากผู้ใช้งาน 2.6 ล้านคนในเวอร์ชันใหม่ของฟอรัมแฮกเกอร์ ในราคาเพียง 2.13 ดอลลาร์สหรัฐ ข้อมูลเหล่านี้ถูกรวบรวมโดยใช้ Application Programming Interface (API) ที่เปิดเผยต่อสาธารณะตั้งแต่เดือนมีนาคม 2023

API ของ Duolingo นี้อนุญาตให้ผู้คนส่งคำขอเข้าถึงข้อมูลโปรไฟล์สาธารณะของผู้ใช้ได้ อย่างไรก็ตาม ยังสามารถระบุที่อยู่อีเมลให้กับ API และตรวจสอบว่าที่อยู่อีเมลนั้นเชื่อมโยงกับบัญชี Duolingo หรือไม่

เว็บไซต์ BleepingComputer ระบุว่า API นี้ยังคงเปิดให้ใช้งานได้ทั่วไป แม้ว่าจะมีการรายงานการนำไปใช้ในทางที่ผิดไปยัง Duolingo ในเดือนมกราคมแล้วก็ตาม

เป็นไปได้ว่าแฮ็กเกอร์ได้ป้อนที่อยู่อีเมลหลายล้านรายการ—ซึ่งอาจรั่วไหลมาจากการละเมิดข้อมูลครั้งก่อนๆ—เข้าไปใน API เพื่อตรวจสอบว่าอีเมลเหล่านั้นเป็นของบัญชี Duolingo หรือไม่ จากนั้นจึงนำที่อยู่อีเมลเหล่านั้นมาสร้างชุดข้อมูลที่มีทั้งข้อมูลสาธารณะและข้อมูลที่ไม่เปิดเผยต่อสาธารณะ

Dữ liệu 2,6 triệu người dùng Duolingo bị phát tán công khai - Ảnh 2. — แฮกเกอร์ได้อัปโหลดข้อมูลของผู้ใช้ Duolingo จำนวน 2.6 ล้านคนกลับขึ้นไปใหม่ในราคาที่ถูกมาก

โดยทั่วไปแล้ว บริษัทต่างๆ มักจะทิ้งข้อมูลที่รวบรวมมาได้ เนื่องจากส่วนใหญ่เป็นข้อมูลสาธารณะอยู่แล้ว อย่างไรก็ตาม เมื่อข้อมูลสาธารณะปะปนกับข้อมูลส่วนตัว เช่น หมายเลขโทรศัพท์และที่อยู่อีเมล จะทำให้การรั่วไหลของข้อมูลมีความเสี่ยงมากขึ้น และอาจละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้

ในปี 2021 เฟซบุ๊กประสบปัญหาข้อมูลรั่วไหลครั้งใหญ่ หลังจากที่ API "เพิ่มเพื่อน" ถูกนำไปใช้ในทางที่ผิดเพื่อเชื่อมโยงหมายเลขโทรศัพท์กับบัญชีเฟซบุ๊กของผู้ใช้ 533 ล้านคน คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ปรับเฟซบุ๊กเป็นเงิน 265 ล้านยูโร (275.5 ล้านดอลลาร์สหรัฐ) สำหรับการรั่วไหลของข้อมูลครั้งนี้ เมื่อไม่นานมานี้ ช่องโหว่ใน API ของทวิตเตอร์ถูกนำไปใช้เพื่อเข้าถึงข้อมูลสาธารณะและที่อยู่อีเมลของผู้ใช้หลายล้านคน ซึ่งนำไปสู่การสอบสวนของ DPC Duolingo ยังไม่ได้อธิบายว่าเหตุใดจึงปล่อยให้ API นี้เข้าถึงได้โดยสาธารณะทั้งๆ ที่มีรายงานการนำไปใช้ในทางที่ผิด

[โฆษณา_2]
ลิงก์แหล่งที่มา