ข้อมูลผู้ใช้ Duolingo กว่า 2.6 ล้านคนรั่วไหลสู่สาธารณะ

Duolingo คือเว็บไซต์และแอปพลิเคชันเรียนภาษาที่ใหญ่ที่สุด ในโลก มีผู้ใช้งานมากกว่า 74 ล้านคนต่อเดือน Bleeping Computer ระบุว่า ข้อมูลส่วนบุคคลของผู้ใช้ Duolingo ที่รั่วไหลจะทำให้แฮกเกอร์สามารถโจมตีแบบฟิชชิ่งได้

ในเดือนมกราคม พ.ศ. 2566 บัญชีในฟอรัมแฮ็กเกอร์ได้ขายข้อมูลที่รวบรวมจากผู้ใช้ Duolingo จำนวน 2.6 ล้านคนในราคา 1,500 ดอลลาร์ และฟอรัมดังกล่าวก็ถูกปิดไปแล้ว

ข้อมูลนี้ประกอบด้วยข้อมูลประจำตัวในการเข้าสู่ระบบ ชื่อจริง และข้อมูลที่ไม่เปิดเผยต่อสาธารณะ เช่น ที่อยู่อีเมลและข้อมูลภายในที่เกี่ยวข้องกับบริการของ Duolingo แม้ว่าโปรไฟล์ผู้ใช้ Duolingo จะแสดงชื่อจริงและชื่อเข้าสู่ระบบต่อสาธารณะ แต่ที่อยู่อีเมลจะไม่ระบุตัวตน

Dữ liệu 2,6 triệu người dùng Duolingo bị phát tán công khai - Ảnh 1. — โฆษณาขายข้อมูลผู้ใช้ Duolingo 2.6 ล้านคนในราคา 1,500 ดอลลาร์

Duolingo ยืนยันกับ TheRecord ว่าข้อมูลที่รวบรวมและขายนั้นมาจากบันทึกสาธารณะ และทางบริการกำลังตรวจสอบว่าจะมีมาตรการป้องกันเพิ่มเติมหรือไม่ อย่างไรก็ตาม Duolingo ไม่ได้ระบุว่ามีการระบุที่อยู่อีเมลไว้ในข้อมูลดังกล่าวด้วย

ข้อมูลจากผู้ใช้ 2.6 ล้านคนได้รับการเผยแพร่เมื่อวานนี้บนฟอรัมแฮ็กเกอร์เวอร์ชันใหม่ในราคาเพียง 2.13 ดอลลาร์สหรัฐฯ ข้อมูลเหล่านี้รวบรวมโดยใช้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ซึ่งเผยแพร่สู่สาธารณะมาตั้งแต่เดือนมีนาคม 2566

API ของ Duolingo นี้อนุญาตให้ทุกคนส่งคำขอข้อมูลโปรไฟล์สาธารณะของผู้ใช้ได้ อย่างไรก็ตาม คุณยังสามารถระบุที่อยู่อีเมลให้กับ API และยืนยันว่าที่อยู่อีเมลนั้นเชื่อมโยงกับบัญชี Duolingo หรือไม่

BleepingComputer กล่าวว่า API ยังคงเปิดเผยต่อสาธารณะแม้ว่าจะมีการรายงานการละเมิดไปยัง Duolingo ในเดือนมกราคมก็ตาม

เป็นไปได้ว่าแฮกเกอร์ได้ป้อนที่อยู่อีเมลหลายล้านรายการ (ซึ่งอาจถูกเปิดเผยในเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้) เข้าไปใน API เพื่อดูว่าเป็นของบัญชี Duolingo หรือไม่ จากนั้นที่อยู่อีเมลเหล่านี้จะถูกนำไปใช้สร้างชุดข้อมูลที่มีทั้งข้อมูลสาธารณะและข้อมูลที่ไม่เปิดเผยต่อสาธารณะ

Dữ liệu 2,6 triệu người dùng Duolingo bị phát tán công khai - Ảnh 2. — แฮกเกอร์อัปโหลดข้อมูลผู้ใช้ Duolingo 2.6 ล้านคนอีกครั้งในราคาถูกมาก

บริษัทต่างๆ มักจะทิ้งข้อมูลที่รวบรวมไว้เนื่องจากข้อมูลส่วนใหญ่เป็นข้อมูลสาธารณะอยู่แล้ว อย่างไรก็ตาม เมื่อข้อมูลสาธารณะถูกนำไปปะปนกับข้อมูลส่วนตัว เช่น หมายเลขโทรศัพท์และที่อยู่อีเมล จะทำให้ข้อมูลที่ถูกเปิดเผยมีความเสี่ยงมากขึ้น และอาจละเมิดกฎหมายคุ้มครองข้อมูล

ในปี 2021 เฟซบุ๊กประสบปัญหาการละเมิดข้อมูลครั้งใหญ่หลังจากมีการใช้ API "เพิ่มเพื่อน" ในทางที่ผิดเพื่อเชื่อมโยงหมายเลขโทรศัพท์กับบัญชีเฟซบุ๊กของผู้ใช้ 533 ล้านคน คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ได้ปรับเฟซบุ๊กเป็นเงิน 265 ล้านยูโร (275.5 ล้านดอลลาร์) ฐานก่อให้เกิดการละเมิดข้อมูล ข้อบกพร่องล่าสุดใน API ของทวิตเตอร์ถูกใช้เพื่อรวบรวมข้อมูลสาธารณะและที่อยู่อีเมลของผู้ใช้หลายล้านคน ซึ่งนำไปสู่การสอบสวนของ DPC Duolingo ยังไม่ได้อธิบายว่าเหตุใดจึงปล่อยให้ API เปิดให้ทุกคนใช้งานได้หลังจากมีรายงานการละเมิด

ลิงค์ที่มา