Duolingo เป็นเว็บไซต์และแอปเรียนภาษาที่ใหญ่ที่สุดในโลก มีผู้ใช้รายเดือนมากกว่า 74 ล้านคน ตามรายงานของ Bleeping Computer ข้อมูลส่วนบุคคลของผู้ใช้ Duolingo ที่รั่วไหลจะทำให้แฮกเกอร์สามารถดำเนินการโจมตีฟิชชิ่งแบบกำหนดเป้าหมายได้
ในเดือนมกราคม พ.ศ. 2566 บัญชีในฟอรัมแฮ็กเกอร์ได้ขายข้อมูลที่รวบรวมจากผู้ใช้ Duolingo กว่า 2.6 ล้านคนในราคา 1,500 ดอลลาร์ และฟอรัมดังกล่าวก็ถูกปิดไปแล้ว
ข้อมูลนี้รวมถึงข้อมูลรับรองการเข้าสู่ระบบ ชื่อจริง ตลอดจนข้อมูลที่ไม่เป็นสาธารณะ เช่น ที่อยู่อีเมล และข้อมูลภายในที่เกี่ยวข้องกับบริการของ Duolingo แม้ว่าโปรไฟล์ผู้ใช้ Duolingo จะแสดงชื่อจริงและชื่อเข้าสู่ระบบ แต่ที่อยู่อีเมลจะไม่ระบุตัวตน
Ad ขายข้อมูลผู้ใช้ Duolingo 2.6 ล้านรายการในราคา 1,500 เหรียญสหรัฐ
Duolingo ยืนยันกับ TheRecord ว่าข้อมูลที่รวบรวมและขายนั้นได้มาจากบันทึกสาธารณะ และทางบริการกำลังสืบสวนว่าควรใช้มาตรการป้องกันหรือไม่ อย่างไรก็ตาม Duolingo ลืมพูดถึงข้อเท็จจริงที่ว่าที่อยู่อีเมลยังแสดงอยู่ในข้อมูลด้วย
ข้อมูลจากผู้ใช้งาน 2.6 ล้านคนได้รับการเผยแพร่เมื่อวานนี้บนฟอรัมแฮ็กเกอร์เวอร์ชันใหม่ด้วยราคาเพียง 2.13 ดอลลาร์ ข้อมูลนี้รวบรวมโดยใช้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) ที่แชร์สาธารณะ ณ เดือนมีนาคม 2023
API ของ Duolingo นี้ช่วยให้ทุกคนสามารถส่งคำขอข้อมูลโปรไฟล์สาธารณะของผู้ใช้งานได้ อย่างไรก็ตาม ยังสามารถให้ที่อยู่อีเมลกับ API และยืนยันได้ว่าที่อยู่ดังกล่าวเชื่อมโยงกับบัญชี Duolingo หรือไม่
BleepingComputer กล่าวว่า API ยังคงเปิดเผยต่อสาธารณะแม้ว่าจะมีการรายงานการละเมิดต่อ Duolingo ในเดือนมกราคมก็ตาม
เป็นไปได้ที่แฮกเกอร์จะป้อนข้อมูลอีเมลหลายล้านรายการ — ซึ่งน่าจะถูกเปิดเผยจากการละเมิดข้อมูลก่อนหน้านี้ — เข้าไปใน API เพื่อดูว่าข้อมูลเหล่านั้นเป็นของบัญชี Duolingo หรือไม่ จากนั้นจะใช้ที่อยู่อีเมลเหล่านี้เพื่อสร้างชุดข้อมูลที่มีข้อมูลสาธารณะและข้อมูลที่ไม่เปิดเผยต่อสาธารณะ
แฮกเกอร์อัปโหลดข้อมูลผู้ใช้ Duolingo 2.6 ล้านคนอีกครั้งด้วยราคาถูกมาก
บริษัทต่างๆ มักจะละเลยข้อมูลที่ตนรวบรวม เนื่องจากข้อมูลส่วนใหญ่นั้นเป็นข้อมูลสาธารณะอยู่แล้ว อย่างไรก็ตาม เมื่อข้อมูลสาธารณะถูกผสมกับข้อมูลส่วนตัว เช่น หมายเลขโทรศัพท์และที่อยู่อีเมล ทำให้ข้อมูลที่เปิดเผยมีความเสี่ยงมากขึ้น และอาจละเมิดกฎหมายการคุ้มครองข้อมูลได้
ในปี 2021 Facebook ประสบปัญหาการละเมิดข้อมูลครั้งใหญ่หลังจากมีการใช้ API "เพิ่มเพื่อน" ในการเชื่อมโยงหมายเลขโทรศัพท์กับบัญชี Facebook ของผู้ใช้กว่า 533 ล้านราย คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ได้ปรับ Facebook เป็นเงิน 265 ล้านยูโร (275.5 ล้านดอลลาร์สหรัฐฯ) ฐานก่อให้เกิดการรั่วไหลของข้อมูลครั้งนี้ ข้อบกพร่องล่าสุดใน API ของ Twitter ถูกใช้เพื่อดึงข้อมูลสาธารณะและที่อยู่อีเมลของผู้ใช้หลายล้านคน ส่งผลให้ DPC ต้องดำเนินการสอบสวน Duolingo ยังไม่ได้อธิบายว่าเหตุใดจึงปล่อยให้ API นี้เปิดให้ทุกคนใช้ได้ หลังจากได้รับรายงานการละเมิด
ลิงค์ที่มา
การแสดงความคิดเห็น (0)