ข้อมูลผู้ใช้ Duolingo กว่า 2.6 ล้านคนรั่วไหลสู่สาธารณะ

Duolingo คือเว็บไซต์และแอปพลิเคชันเรียนภาษาที่ใหญ่ที่สุด ในโลก มีผู้ใช้งานมากกว่า 74 ล้านคนต่อเดือน Bleeping Computer ระบุว่า ข้อมูลส่วนบุคคลของผู้ใช้ Duolingo ที่รั่วไหลจะทำให้แฮกเกอร์สามารถโจมตีแบบฟิชชิ่งได้

ในเดือนมกราคม พ.ศ. 2566 บัญชีในฟอรัมแฮ็กเกอร์ได้ขายข้อมูลที่รวบรวมจากผู้ใช้ Duolingo จำนวน 2.6 ล้านคนในราคา 1,500 ดอลลาร์ และฟอรัมดังกล่าวก็ถูกปิดไปแล้ว

ข้อมูลนี้ประกอบด้วยข้อมูลประจำตัวในการเข้าสู่ระบบ ชื่อจริง และข้อมูลที่ไม่เปิดเผยต่อสาธารณะ เช่น ที่อยู่อีเมลและข้อมูลภายในที่เกี่ยวข้องกับบริการของ Duolingo แม้ว่าโปรไฟล์ผู้ใช้ Duolingo จะแสดงชื่อจริงและชื่อเข้าสู่ระบบต่อสาธารณะ แต่ที่อยู่อีเมลจะไม่ระบุตัวตน

Dữ liệu 2,6 triệu người dùng Duolingo bị phát tán công khai - Ảnh 1. — โฆษณาขายข้อมูลผู้ใช้ Duolingo 2.6 ล้านคนในราคา 1,500 ดอลลาร์

Duolingo ยืนยันกับ TheRecord ว่าข้อมูลที่รวบรวมและขายนั้นมาจากบันทึกสาธารณะ และทางบริการกำลังตรวจสอบว่าจะมีมาตรการป้องกันเพิ่มเติมหรือไม่ อย่างไรก็ตาม Duolingo ไม่ได้ระบุว่ามีการระบุที่อยู่อีเมลไว้ในข้อมูลดังกล่าวด้วย

ข้อมูลจากผู้ใช้ 2.6 ล้านคนได้รับการเผยแพร่เมื่อวานนี้บนฟอรัมแฮ็กเกอร์เวอร์ชันใหม่ในราคาเพียง 2.13 ดอลลาร์สหรัฐฯ ข้อมูลเหล่านี้รวบรวมโดยใช้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ซึ่งเผยแพร่สู่สาธารณะมาตั้งแต่เดือนมีนาคม 2566

API ของ Duolingo นี้อนุญาตให้ทุกคนส่งคำขอเพื่อดึงข้อมูลโปรไฟล์สาธารณะของผู้ใช้ได้ อย่างไรก็ตาม คุณยังสามารถระบุที่อยู่อีเมลให้กับ API และยืนยันว่าที่อยู่อีเมลนั้นเชื่อมโยงกับบัญชี Duolingo หรือไม่

BleepingComputer กล่าวว่า API ยังคงเปิดเผยต่อสาธารณะแม้ว่าจะมีการรายงานการละเมิดไปยัง Duolingo ในเดือนมกราคมก็ตาม

เป็นไปได้ว่าแฮกเกอร์ได้ป้อนที่อยู่อีเมลหลายล้านรายการเข้าไปใน API ซึ่งอาจเปิดเผยในเหตุการณ์ข้อมูลรั่วไหลก่อนหน้านี้ เพื่อดูว่าเป็นของบัญชี Duolingo หรือไม่ จากนั้นที่อยู่อีเมลเหล่านี้จะถูกนำไปใช้สร้างชุดข้อมูลที่มีทั้งข้อมูลสาธารณะและข้อมูลที่ไม่เปิดเผยต่อสาธารณะ

Dữ liệu 2,6 triệu người dùng Duolingo bị phát tán công khai - Ảnh 2. — แฮกเกอร์อัปโหลดข้อมูลผู้ใช้ Duolingo 2.6 ล้านคนอีกครั้งในราคาถูกมาก

บริษัทต่างๆ มักจะทิ้งข้อมูลที่รวบรวมไว้ เนื่องจากข้อมูลส่วนใหญ่เป็นข้อมูลสาธารณะอยู่แล้ว อย่างไรก็ตาม เมื่อข้อมูลสาธารณะถูกนำไปปะปนกับข้อมูลส่วนตัว เช่น หมายเลขโทรศัพท์และที่อยู่อีเมล จะทำให้ข้อมูลที่ถูกเปิดเผยมีความเสี่ยงมากขึ้น และอาจละเมิดกฎหมายคุ้มครองข้อมูล

ในปี 2021 Facebook ประสบปัญหาการละเมิดข้อมูลครั้งใหญ่หลังจากมีการใช้ API "Add Friend" ในทางที่ผิดเพื่อเชื่อมโยงหมายเลขโทรศัพท์กับบัญชี Facebook ของผู้ใช้ 533 ล้านคน คณะกรรมการคุ้มครองข้อมูลแห่งไอร์แลนด์ (DPC) ได้ปรับ Facebook เป็นเงิน 265 ล้านยูโร (275.5 ล้านดอลลาร์) ฐานก่อให้เกิดการละเมิดดังกล่าว ข้อบกพร่องล่าสุดใน API ของ Twitter ถูกใช้เพื่อรวบรวมข้อมูลสาธารณะและที่อยู่อีเมลของผู้ใช้หลายล้านคน ซึ่งนำไปสู่การสอบสวนโดย DPC Duolingo ยังไม่ได้อธิบายว่าเหตุใดจึงปล่อยให้ API เปิดให้ทุกคนใช้งานได้หลังจากได้รับรายงานการละเมิด

ลิงค์ที่มา