Duolingo زبان سیکھنے کی دنیا کی سب سے بڑی ویب سائٹ اور ایپ ہے جس کے ماہانہ 74 ملین سے زیادہ صارفین ہیں۔ Bleeping Computer کے مطابق، Duolingo کے صارفین کا لیک ہونے والا ذاتی ڈیٹا ہیکرز کو ٹارگٹڈ فشنگ حملے کرنے کی اجازت دے گا۔
جنوری 2023 میں، ایک ہیکر فورم پر ایک اکاؤنٹ نے 2.6 ملین Duolingo صارفین سے جمع کردہ ڈیٹا کو 1,500 ڈالر میں فروخت کیا، اور اس کے بعد سے فورم کو بند کر دیا گیا ہے۔
اس ڈیٹا میں لاگ ان کی اسناد، اصلی نام، اور غیر عوامی معلومات، بشمول ای میل پتے اور Duolingo کی سروس سے متعلق اندرونی معلومات شامل ہیں۔ جبکہ Duolingo صارف پروفائلز عوامی طور پر اصلی نام اور لاگ ان نام ظاہر کرتے ہیں، ای میل پتے گمنام ہوتے ہیں۔
$1,500 میں 2.6 ملین Duolingo صارف کا ڈیٹا فروخت کرنے والا اشتہار
Duolingo نے TheRecord کو اس بات کی تصدیق کی کہ جمع اور فروخت کردہ ڈیٹا عوامی ریکارڈ سے لیا گیا تھا، اور سروس اس بات کی تحقیقات کر رہی ہے کہ آیا مزید احتیاطی تدابیر اختیار کی جائیں۔ تاہم، Duolingo نے اس بات کا ذکر نہیں کیا کہ ای میل پتے بھی ڈیٹا میں درج تھے۔
کل 2.6 ملین صارفین کا ڈیٹا ہیکر فورم کے نئے ورژن پر صرف $2.13 میں جاری کیا گیا۔ ڈیٹا ایک ایپلیکیشن پروگرامنگ انٹرفیس (API) کا استعمال کرتے ہوئے اکٹھا کیا گیا تھا جسے مارچ 2023 سے عوامی طور پر شیئر کیا گیا ہے۔
یہ Duolingo API کسی کو بھی صارف کی عوامی پروفائل کی معلومات کے لیے درخواست جمع کرانے کی اجازت دیتا ہے۔ تاہم، API کو ای میل ایڈریس فراہم کرنا اور اس بات کی تصدیق کرنا بھی ممکن ہے کہ آیا وہ پتہ Duolingo اکاؤنٹ سے وابستہ ہے۔
BleepingComputer نے کہا کہ جنوری میں Duolingo کو اس کے غلط استعمال کی اطلاع کے بعد بھی API عوامی طور پر دستیاب ہے۔
ممکنہ طور پر ہیکر نے لاکھوں ای میل پتے — جو ممکنہ طور پر سابقہ ڈیٹا کی خلاف ورزیوں میں ظاہر کیے گئے تھے — API میں یہ دیکھنے کے لیے فیڈ کیے ہیں کہ آیا ان کا تعلق Duolingo اکاؤنٹس سے ہے۔ ان ای میل پتوں کو پھر عوامی اور غیر عوامی دونوں معلومات پر مشتمل ڈیٹا سیٹ بنانے کے لیے استعمال کیا گیا۔
ہیکر 2.6 ملین Duolingo صارفین کا ڈیٹا انتہائی سستی قیمت پر دوبارہ اپ لوڈ کرتا ہے۔
کمپنیاں جمع کردہ ڈیٹا کو ضائع کرنے کا رجحان رکھتی ہیں کیونکہ اس میں سے زیادہ تر پہلے ہی عوامی ہے۔ تاہم، جب عوامی ڈیٹا کو نجی ڈیٹا جیسے فون نمبرز اور ای میل ایڈریسز کے ساتھ ملایا جاتا ہے، تو اس سے ظاہر ہونے والی معلومات کو زیادہ خطرہ ہوتا ہے اور ممکنہ طور پر ڈیٹا کے تحفظ کے قوانین کی خلاف ورزی ہوتی ہے۔
2021 میں، فیس بک کو 533 ملین صارفین کے فیس بک اکاؤنٹس سے فون نمبر لنک کرنے کے لیے اس کے "Add Friend" API کا غلط استعمال کرنے کے بعد بڑے پیمانے پر ڈیٹا کی خلاف ورزی کا سامنا کرنا پڑا۔ آئرلینڈ کے ڈیٹا پروٹیکشن کمیشن (ڈی پی سی) نے ڈیٹا کی خلاف ورزی کی وجہ سے فیس بک پر 265 ملین یورو ($ 275.5 ملین) جرمانہ عائد کیا۔ ٹویٹر کے API میں ایک حالیہ بگ کا استعمال لاکھوں صارفین کے عوامی ڈیٹا اور ای میل پتوں کو ختم کرنے کے لیے کیا گیا، جس کے نتیجے میں ڈی پی سی کی تحقیقات کی گئیں۔ Duolingo نے ابھی تک اس بات کی وضاحت نہیں کی ہے کہ اس نے بدسلوکی کی اطلاعات کے بعد اپنا API سب کے لیے کیوں کھلا چھوڑ دیا۔
ماخذ لنک
تبصرہ (0)