Vi phạm dữ liệu Duolingo mới nhất bị lộ 2.6 triệu người dùng và tất cả thông tin của họ hiện đã có trên internet, chờ được bán.
Trong một diễn biến đáng lo ngại, ứng dụng học ngôn ngữ được sử dụng rộng rãi, Duolingo, đã trở thành mục tiêu vi phạm dữ liệu mới nhất, đưa thông tin cá nhân của 2.6 triệu người dùng gặp rủi ro. Dữ liệu bị vi phạm, bao gồm các chi tiết nhạy cảm như địa chỉ email, tên người dùng, tên và số điện thoại, đã tìm được đường đến thị trường tội phạm mạng ngầm, BreachForums.
Vụ việc đã đặt ra câu hỏi về các biện pháp bảo mật dữ liệu và quyền riêng tư, khiến công ty phải hành động. Hãy cùng đi sâu vào chi tiết về vi phạm này và những tác động tiềm ẩn của nó.
2.6 triệu người bị ảnh hưởng bởi vụ vi phạm dữ liệu Duolingo
Người dùng Duolingo đã gặp phải tin xấu khi phát hiện ra một lượng đáng kể dữ liệu người dùng đã bị lộ trực tuyến. Khoảng 2.6 hàng triệu cá nhân đã bị thu thập thông tin cá nhân và rao bán trên BreachForums, một thị trường ngầm nổi tiếng với việc tổ chức các giao dịch bất hợp pháp như vậy.
Thông tin được tiết lộ chứa nhiều loại dữ liệu, từ số nhận dạng cơ bản như tên người dùng và tên cho đến thông tin chi tiết hơn như hồ sơ mạng xã hội, nghiên cứu ngôn ngữ, cấp độ kinh nghiệm và thậm chí cả tiến độ và thành tích trong ứng dụng.
Bộ dữ liệu đầy đủ chứa thông tin chi tiết về hơn 2.6 triệu người dùng đã sẵn sàng để giành lấy kể từ tháng 1, với mức giá ban đầu là $1,500. Kho dữ liệu này, đại diện cho một mỏ vàng tiềm năng cho tội phạm mạng, hiện có sẵn cho 8 tín dụng, tương đương với khoảng $20,13 bằng tiền nội bộ của BreachForums.
Bên trong đáng báo động Vi phạm dữ liệu PSNI
Tiết lộ rõ ràng này đã gióng lên hồi chuông cảnh báo trong cộng đồng an ninh mạng, khiến các chuyên gia cũng như người dùng lo ngại về mức độ hậu quả của vụ vi phạm. “Hôm nay tôi đã tải Duolingo Scrape lên để bạn tải xuống, cảm ơn bạn đã đọc và thưởng thức!” hacker đã viết trên diễn đàn.
Các nhà nghiên cứu đã phá vỡ vụ vi phạm dữ liệu Duolingo
Một nhóm các nhà nghiên cứu từ Vx-underground đã tìm thấy một tiết lộ đáng báo động xung quanh vụ vi phạm dữ liệu Duolingo. Có vẻ như Kẻ đe dọa đã tìm cách khai thác một lỗi trong API của Duolingo. Bằng cách gửi email hợp lệ tới API, kẻ tấn công có thể lấy thông tin chi tiết tài khoản chung của người dùng. Sai sót bảo mật này khiến người dùng dễ bị tấn công doxxing, một cuộc tấn công mạng liên quan đến việc tiết lộ thông tin cá nhân và có thể dẫn đến các nỗ lực lừa đảo có chủ đích.
Tác nhân đe dọa đã xác định được lỗi trong API Duolingo. Việc gửi email hợp lệ tới API sẽ trả về thông tin tài khoản chung của người dùng (tên, email, ngôn ngữ đã nghiên cứu).
Họ đã sử dụng một danh sách email để tập hợp lại 2.6m mục duy nhất.
Điều này sẽ được sử dụng để doxxing.
— vx-ngầm (@vxunderground) Ngày 21 tháng 8 năm 2023
tin tức mạng các nhà nghiên cứu đã nghiên cứu sâu hơn về vi phạm và nhận thấy rằng những rủi ro tiềm ẩn vượt quá quy mô ban đầu. Họ phát hiện ra rằng dữ liệu người dùng trên Duolingo vẫn dễ bị thu thập, gợi ý về khả năng truy cập thông tin bổ sung, chẳng hạn như dữ liệu vị trí và hình đại diện công khai. Lỗ hổng này chủ yếu bắt nguồn từ giao diện lập trình ứng dụng (API) bị lộ mà tin tặc có thể thao túng để thu thập dữ liệu hồ sơ công khai của một cá nhân.
Duolingo đang nghiên cứu nó
Duolingo đã nhanh chóng phản ứng với tình huống này, thừa nhận vi phạm đồng thời nhấn mạnh rằng không có vụ hack hoặc vi phạm dữ liệu thực sự nào xảy ra trong hệ thống của họ. Theo công ty, dữ liệu bị xâm phạm được thu thập từ thông tin hồ sơ có sẵn công khai thông qua API mở của nền tảng. MỘT
người phát ngôn của Duolingo trấn an người dùng rằng quyền riêng tư và bảo mật dữ liệu của họ là hết sức quan trọng. Công ty đang tích cực điều tra vấn đề và đánh giá xem liệu có cần các biện pháp bổ sung để bảo vệ thông tin của người dùng hay không.
760k người dùng đang gặp nguy hiểm sau Vi phạm dữ liệu Discord.io
Khi cuộc điều tra diễn ra, sai sót bảo mật đóng vai trò như một lời nhắc nhở về tầm quan trọng đặc biệt của việc bảo vệ dữ liệu và an ninh mạng. Vi phạm nhấn mạnh sự cần thiết của các công ty trong việc giám sát và củng cố hệ thống của họ trước các mối đe dọa ngày càng gia tăng. Trong khi Duolingo thực hiện các bước để khắc phục tình trạng này, người dùng được khuyến khích duy trì cảnh giác, áp dụng các biện pháp bảo mật mạnh mẽ và xem thông tin cá nhân của mình.
