Duolingo هو أكبر موقع وتطبيق لتعلم اللغات في العالم، حيث يستخدمه أكثر من 74 مليون مستخدم شهريًا. وبحسب موقع Bleeping Computer، فإن البيانات الشخصية المسربة لمستخدمي Duolingo من شأنها أن تسمح للمتسللين بتنفيذ هجمات تصيد مستهدفة.
في يناير 2023، قام حساب على أحد منتديات القراصنة ببيع بيانات تم جمعها من 2.6 مليون مستخدم لـ Duolingo مقابل 1500 دولار، وتم إغلاق المنتدى منذ ذلك الحين.
تتضمن هذه البيانات بيانات تسجيل الدخول والأسماء الحقيقية، بالإضافة إلى معلومات غير عامة، بما في ذلك عناوين البريد الإلكتروني والمعلومات الداخلية المتعلقة بخدمات Duolingo. على الرغم من أن ملفات تعريف مستخدمي Duolingo تعرض الأسماء الحقيقية وأسماء تسجيل الدخول، إلا أن عناوين البريد الإلكتروني تكون مجهولة.
إعلان يبيع بيانات 2.6 مليون مستخدم لـ Duolingo مقابل 1500 دولار
وأكدت شركة Duolingo لموقع TheRecord أن البيانات التي تم جمعها وبيعها تم أخذها من السجلات العامة، وتقوم الخدمة بالتحقيق فيما إذا كان ينبغي لها اتخاذ الاحتياطات اللازمة. ومع ذلك، فشل Duolingo في ذكر حقيقة أن عناوين البريد الإلكتروني مدرجة أيضًا في البيانات.
تم إصدار بيانات 2.6 مليون مستخدم أمس في نسخة جديدة من منتدى الهاكر مقابل 2.13 دولار فقط. تم جمع هذه البيانات باستخدام واجهة برمجة التطبيقات (API) المشتركة علنًا اعتبارًا من مارس 2023.
تتيح واجهة برمجة تطبيقات Duolingo هذه لأي شخص إرسال طلبات للحصول على معلومات الملف الشخصي العام للمستخدمين. ومع ذلك، من الممكن أيضًا تقديم عنوان بريد إلكتروني إلى واجهة برمجة التطبيقات (API) والتأكد من أن هذا العنوان مرتبط بحساب Duolingo.
وقالت شركة BleepingComputer إن واجهة برمجة التطبيقات ظلت متاحة للعامة حتى بعد الإبلاغ عن إساءة استخدامها إلى Duolingo في يناير.
من الممكن أن يكون المخترق قد أدخل ملايين عناوين البريد الإلكتروني - والتي من المحتمل أن تكون قد تم الكشف عنها في خروقات البيانات السابقة - إلى واجهة برمجة التطبيقات لمعرفة ما إذا كانت تنتمي إلى حسابات Duolingo. ويتم بعد ذلك استخدام عناوين البريد الإلكتروني هذه لإنشاء مجموعة بيانات تحتوي على معلومات عامة وغير عامة.
مخترق يعيد تحميل بيانات 2.6 مليون مستخدم لتطبيق Duolingo مقابل سعر زهيد للغاية
تميل الشركات إلى إهمال البيانات التي تجمعها، لأن معظمها أصبح متاحًا للعامة بالفعل. ومع ذلك، عندما يتم خلط البيانات العامة مع البيانات الخاصة مثل أرقام الهواتف وعناوين البريد الإلكتروني، فإن ذلك يجعل المعلومات المكشوفة أكثر خطورة وربما تشكل انتهاكًا لقوانين حماية البيانات.
في عام 2021، عانت شركة فيسبوك من خرق هائل للبيانات بعد إساءة استخدام واجهة برمجة التطبيقات "إضافة صديق" لربط أرقام الهواتف بحسابات فيسبوك لـ 533 مليون مستخدم. فرضت لجنة حماية البيانات الأيرلندية غرامة قدرها 265 مليون يورو (275.5 مليون دولار) على شركة فيسبوك بسبب التسبب في تسرب البيانات. تم استغلال خطأ حديث في واجهة برمجة التطبيقات الخاصة بموقع تويتر للحصول على بيانات عامة وعناوين البريد الإلكتروني لملايين المستخدمين، مما أدى إلى إجراء تحقيق من قبل مفوضية حماية البيانات. لم يوضح Duolingo حتى الآن سبب ترك هذه الواجهة البرمجية مفتوحة للجميع بعد تلقي تقارير إساءة الاستخدام.
[إعلان رقم 2]
رابط المصدر
تعليق (0)