Duolingo là trang web và ứng dụng học ngôn ngữ lớn nhất thế giới với hơn 74 triệu người dùng hàng tháng. Theo Bleeping Computer, dữ liệu cá nhân của người dùng Duolingo bị lộ sẽ cho phép tin tặc thực hiện các cuộc tấn công lừa đảo có chủ đích.
Vào tháng 1 năm 2023, một tài khoản trên diễn đàn hacker đã bán dữ liệu thu thập được từ 2,6 triệu người dùng Duolingo với giá 1.500 USD. Diễn đàn sau đó đã bị gỡ xuống và thông tin về tập dữ liệu cũng biến mất.
Tuy nhiên, quản trị viên diễn đàn đã sao lưu và chia sẻ lại. Dữ liệu người dùng Duolingo bị lộ bao gồm thông tin đăng nhập, tên thật cũng như thông tin không công khai, bao gồm địa chỉ email và thông tin nội bộ liên quan đến dịch vụ của Duolingo. Trong khi hồ sơ người dùng Duolingo tiết lộ tên thật và tên người dùng của họ thì địa chỉ email là thông tin ẩn. Trong một số trường hợp, thậm chí còn có cả số điện thoại.
Trả lời thông tin này, Duolingo khẳng định nền tảng không bị hack nhưng những thông tin như tên đăng nhập của người dùng là thông tin công khai và được thu thập thông qua các trang web khác. Nền tảng sẽ điều tra thêm để xác định vấn đề cụ thể.
Dữ liệu Duolingo được thu thập được rao bán trên một diễn đàn hacker. (Ảnh: Falcon Feed)
Dữ liệu từ 2,6 triệu người dùng đã được phát hành vào ngày 23 tháng 8 trên phiên bản mới của diễn đàn hacker với giá chỉ 2,13 USD. Dữ liệu này được thu thập bằng giao diện lập trình ứng dụng (API) được chia sẻ công khai kể từ tháng 3 năm 2023.
API Duolingo này cho phép mọi người gửi truy xuất thông tin hồ sơ công khai của người dùng. Tuy nhiên, bạn cũng có thể cung cấp địa chỉ email vào API và xác nhận xem địa chỉ đó có được liên kết với tài khoản Duolingo hay không.
BleepingComputer cho biết API vẫn được cung cấp công khai ngay cả sau khi hành vi lạm dụng được báo cáo cho Duolingo vào tháng 1.
Theo dự đoán, hacker có thể đưa hàng triệu địa chỉ email, có thể bị lộ trong các vụ vi phạm dữ liệu trước đó, vào API để xem liệu chúng có thuộc tài khoản Duolingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai.
