Chúng tôi bắt đầu ngày mới với tin tức về vụ vi phạm dữ liệu Duolingo. Nền tảng học ngôn ngữ thông báo rằng thông tin cá nhân của khoảng 3 triệu người dùng đã bị xâm phạm trong vụ vi phạm dữ liệu mới nhất. Được biết, thông tin thu được do vi phạm hiện đã có sẵn để bán trên Internet.
Vi phạm dữ liệu Duolingo: 3 Thông tin của gần một triệu người dùng có nguy cơ bị đe dọa.
Ứng dụng học ngôn ngữ phổ biến Duolingo sắp gặp phải vụ vi phạm dữ liệu mới nhất. 3 thông báo thông tin cá nhân của hàng triệu người dùng có nguy cơ bị đe dọa. Do vi phạm dữ liệu này, thông tin nhạy cảm và bí mật như địa chỉ e-mail, tên người dùng, tên và số điện thoại được rao bán trên BreachForums, thị trường tội phạm mạng ngầm.
Chi tiết vi phạm dữ liệu Duolingo
Vụ vi phạm này đã gây ra những lo ngại nghiêm trọng về bảo mật và quyền riêng tư dữ liệu, buộc Duolingo phải hành động. Chúng ta hãy xem xét kỹ hơn các chi tiết và những ảnh hưởng có thể xảy ra do vi phạm.
Đồng thời, thật hữu ích khi biết; Dữ liệu này bao gồm thông tin cụ thể như hồ sơ mạng xã hội, trình độ học ngôn ngữ và thành tích.
Kể từ tháng 1, các gói chứa thông tin này đã được rao bán với mức giá 1500 đô la. Nhưng bây giờ chỉ để đổi lấy nội tệ của BreachForums 8 xấp xỉ tương đương với tín dụng 2Nó có thể thu được với giá 0,13 đô la.
Sự cố này đã gióng lên hồi chuông cảnh báo trong cộng đồng an ninh mạng, các chuyên gia và người dùng vô cùng lo ngại về mức độ vi phạm. Trong diễn đàn hacker để lại một tin nhắn.
Các nhà điều tra khám phá chi tiết vi phạm
Một nhóm các nhà nghiên cứu có tên VX-underground đã tiết lộ một chi tiết quan trọng về vụ vi phạm dữ liệu Duolingo. Có vẻ như kẻ xấu đã lợi dụng lỗ hổng trong API của Duolingo để thực hiện cuộc tấn công. Kẻ tấn công đã truy cập API bằng email hợp lệ và lấy được thông tin tài khoản công khai của người dùng. Lỗ hổng này tạo ra một lỗ hổng nghiêm trọng có thể dẫn đến việc tiết lộ thông tin cá nhân của người dùng và thậm chí là các cuộc tấn công lừa đảo.
Tác nhân đe dọa đã xác định được lỗi trong API Duolingo. Gửi email hợp lệ tới API sẽ trả về thông tin tài khoản chung về người dùng (tên, email, ngôn ngữ được nghiên cứu).
Họ đã sử dụng một danh sách email để tập hợp lại 2.6m mục duy nhất.
Điều này sẽ được sử dụng để doxxing.
— vx-ngầm (@vxunderground) Ngày 21 tháng 8 năm 2023
Các nhà nghiên cứu có tên Cybernews đã kiểm tra vi phạm chi tiết hơn và phát hiện ra rằng dữ liệu người dùng trên Duolingo rất dễ bị vi phạm. Điều này có nghĩa là người dùng có thể truy cập thông tin bổ sung như thông tin vị trí và hình đại diện công khai của họ.
Duolingo đang xử lý vi phạm dữ liệu
Duolingo đã nhanh chóng phản ứng với hành vi vi phạm và thừa nhận hành vi vi phạm dữ liệu. Công ty tuyên bố rằng dữ liệu bị chặn được thu thập từ thông tin hồ sơ công khai thông qua API mở của nền tảng.
