Với tội phạm an ninh mạng ngày càng gia tăng, việc các tổ chức áp dụng các biện pháp bảo vệ dữ liệu nghiêm ngặt để đảm bảo tính bảo mật và quyền riêng tư của dữ liệu người dùng trở nên vô cùng quan trọng. Tuy nhiên, cho dù các tổ chức có cẩn thận đến đâu thì những kẻ xấu vẫn tìm cách này hay cách khác để vi phạm bảo mật để trích xuất dữ liệu nhạy cảm. Mới tuần trước, một ứng dụng đồng hành của bên thứ ba dành cho Discord, Discord.io đã bị vi phạm dữ liệu, dẫn đến việc ứng dụng này tạm thời bị đóng cửa. Và giờ đây, ứng dụng học ngôn ngữ phổ biến Duolingo đã trở thành nạn nhân của một vụ vi phạm dữ liệu. Hãy tiếp tục đọc để biết tin tặc có quyền truy cập vào dữ liệu Duolingo nào và công ty đang làm gì với dữ liệu đó.
Dữ liệu người dùng Duolingo bị rò rỉ trực tuyến
Theo một bài đăng X (tweet trước đó) được thực hiện bởi @vx-underground, một kẻ đe dọa đã được trích xuất 2.6 triệu dữ liệu người dùng Duolingo đã được thu thập và đăng lên phiên bản mới của diễn đàn hack nổi tiếng Breached. Sự vi phạm đã được xác nhận bởi BleepingMáy Tính trong một bài viết blog gần đây. Và điều tồi tệ nhất là, dữ liệu này đã được đưa lên diễn đàn cho 8 tín dụng trang web, chỉ có giá trị $2.13, thực tế là không có gì.
Dữ liệu này được thu thập bởi thao túng một lỗi hiện có trong API Duolingo điều đó cho phép kẻ xấu lấy được thông tin chi tiết của người dùng cá nhân như ID email, chi tiết liên hệ, địa chỉ, v.v. bằng cách gửi email hợp lệ tới API.
Tác nhân đe dọa đã xác định được lỗi trong API Duolingo. Việc gửi email hợp lệ tới API sẽ trả về thông tin tài khoản chung của người dùng (tên, email, ngôn ngữ đã nghiên cứu).
Họ đã sử dụng một danh sách email để tập hợp lại 2.6m mục duy nhất.
Điều này sẽ được sử dụng để doxxing.— vx-underground (@vxunderground) Ngày 21 tháng 8 năm 2023
Tin tặc đã có thể xác minh người dùng Duolingo đang hoạt động bằng cách cung cấp hàng triệu địa chỉ email cho API dễ bị tấn công. ID email đã được xác minh sau đó được tin tặc sử dụng để tạo tập dữ liệu chứa cả thông tin công khai và không công khai. Ngoài ra, cũng có thể cung cấp tên người dùng cho API để truy xuất đầu ra JSONchứa dữ liệu nhạy cảm của người dùng.
Tuy nhiên, đây không phải là lần đầu tiên dữ liệu này xuất hiện trên mạng. Trở lại vào tháng Giêng, Nguồn cấp dữ liệu chim ưng đã làm sáng tỏ vấn đề này thông qua một bài đăng X. Cơ sở dữ liệu bị loại bỏ đã được đăng trên phiên bản cũ hơn của diễn đàn hack Breached cho $1,500. Dữ liệu bị lộ chứa thông tin cá nhân của người dùng như địa chỉ email, số điện thoại, hình ảnh, cài đặt quyền riêng tư, v.v.
Duolingo đã thừa nhận vấn đề này với TheRecord vào thời điểm đó và đảm bảo với mọi người rằng đó là sự thật. điều tra sự việc. Tuy nhiên, bằng cách nào đó, nền tảng này đã bỏ sót sự thật rằng thông tin cá nhân như địa chỉ email cũng là một phần của dữ liệu bị loại bỏ.
Bây giờ, phần đáng lo ngại nhất về vấn đề này là API bị nhiễm vẫn có sẵn công khai gửi tới tất cả mọi người trên mạng mặc dù vấn đề này đã thu hút sự chú ý của Duolingo vào tháng 1. Và thật đáng buồn, điều này không có gì đáng ngạc nhiên. Các công ty thường có xu hướng bỏ qua dữ liệu đã được thu thập của họ vì nó chủ yếu chứa thông tin đã được công khai và không phải là dữ liệu dễ biên soạn nhất để gây ra bất kỳ mối đe dọa đáng tin cậy nào.
Tuy nhiên, trong trường hợp của Duolingo, điều này dữ liệu bị loại bỏ cũng chứa thông tin người dùng nhạy cảm, không có sẵn công khai. Hiện tại, chúng tôi chỉ có thể đợi Duolingo giải quyết vấn đề này theo mức độ ưu tiên. Và trong trường hợp dữ liệu của bạn nằm trong số bị rò rỉ, điều bạn có thể làm nhiều nhất là thay đổi thông tin xác thực và/hoặc xóa tài khoản Duolingo của mình.
