Thị trường hàng hóa
Duolingo là website và ứng dụng học ngôn ngữ lớn nhất thế giới với hơn 74 triệu người dùng hằng tháng. Theo Bleeping Computer, những dữ liệu cá nhân của người dùng Duolingo bị lộ sẽ cho phép hacker thực hiện các cuộc tấn công lừa đảo có chủ đích.
Trong tháng 1/2023, một tài khoản trên diễn đàn hacker đã bán dữ liệu thu thập được từ 2,6 triệu người dùng Duolingo với giá 1.500 USD, hiện diễn đàn này cũng đã ngừng hoạt động.
Theo lời giới thiệu, dữ liệu gồm email, tên, ngôn ngữ đang học, khóa học và một số có cả số điện thoại được thu thập từ người dùng DuoLingo. Quản trị viên cũng chia sẻ một file xem trước với thông tin của khoảng 1.000 người, trong đó có ít nhất 9 tài khoản liên quan đến từ khóa Việt Nam.
Theo các chuyên gia bảo mật, những dữ liệu trên nếu rơi vào tay kẻ gian có thể trở thành dữ liệu để chúng sử dụng cho các cuộc tấn công về sau.
Dữ liệu này bao gồm các thông tin đăng nhập, tên thật cũng như thông tin không công khai, bao gồm địa chỉ email và thông tin nội bộ liên quan đến dịch vụ của Duolingo. Dù hồ sơ người dùng Duolingo công khai tên thật và tên đăng nhập, nhưng địa chỉ email lại là thông tin ẩn giấu.
Trả lời báo chí khi bộ dữ liệu bị lộ hồi đầu năm, DuoLingo khẳng định nền tảng không bị hack, mà những thông tin như tên đăng nhập của người dùng vốn là thông tin được công khai. Tuy nhiên, nền tảng không trả lời về trường dữ liệu email và số điện thoại, vốn là thông tin không được chia sẻ.
Theo các chuyên gia, các thông tin này có thể đến từ lỗ hổng trong giao diện lập trình ứng dụng (API) của DuoLingo. API này cho phép nhập tên người dùng để truy xuất hồ sơ công khai của họ. Ngoài ra, khi nhập một email vào API, chúng có thể trả về thông tin email đó có liên kết với một tài khoản hợp lệ hay không.
Từ đây, hacker có thể sử dụng tệp email thu thập từ các vụ hack khác, sau đó nhập vào API của DuoLingo để quét xem chúng thuộc về tài khoản nào, từ đó làm giàu thêm dữ liệu về người dùng và rao bán. Lỗ hổng của API này đã bị cảnh báo từ tháng 1, nhưng đến nay vẫn được DuoLingo sử dụng.
Có thể dự đoán hacker đã đưa hàng triệu địa chỉ email - có thể bị lộ trong các vụ vi phạm dữ liệu trước đó - vào API để xem có thuộc tài khoản Duolingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai.
Các công ty có xu hướng loại bỏ dữ liệu thu thập, vì hầu hết chúng đã được công khai. Tuy nhiên khi dữ liệu công khai được trộn với dữ liệu riêng tư như số điện thoại và địa chỉ email, nó khiến thông tin bị lộ trở nên rủi ro hơn và có khả năng vi phạm luật bảo vệ dữ liệu.
Năm 2021, lỗi API "Thêm bạn bè" của Facebook từng bị lạm dụng để liên kết số điện thoại với tài khoản Facebook của 533 triệu người dùng. Mạng xã hội sau đó bị phạt 275,5 triệu USD vì các dữ liệu được "cóp nhặt" này.
Tag
BÀI VIẾT LIÊN QUAN
Đọc thêm