-
09/04/2020
-
85
-
553 bài viết
Dữ liệu cá nhân của 2,6 triệu người dùng Duolingo bị phát tán trên diễn đàn hacker
Dữ liệu cá nhân của 2,6 triệu người dùng Duolingo đã bị rò rỉ trên một diễn đàn hacker, cho phép tin tặc thực hiện các cuộc tấn công lừa đảo có chủ đích bằng cách sử dụng thông tin bị lộ.
Duolingo là một trong những trang web học ngôn ngữ lớn nhất thế giới, với hơn 74 triệu người dùng hàng tháng. Vào tháng 1 năm 2023, tin tặc đã bán dữ liệu thu thập được của 2,6 triệu người dùng Duolingo trên diễn đàn B*****ed (đã ngừng hoạt động) với giá 1.500 đô la.
Dữ liệu này bao gồm thông tin đăng nhập, tên thật và những thông tin không công khai như địa chỉ email hay thông tin nội bộ liên quan đến dịch vụ Duolingo. Mặc dù tên thật và tên đăng nhập đã được công khai trong hồ sơ Duolingo của người dùng, các chuyên gia vẫn lo ngại về mức độ nguy hiểm của vụ rò rỉ do địa chỉ email bị lộ lọt có thể bị hacker sử dụng trong các cuộc tấn công.
Khi dữ liệu được rao bán, Duolingo xác nhận rằng chúng được lấy từ thông tin hồ sơ công khai và họ đang điều tra xem có nên thực hiện các biện pháp phòng ngừa bổ sung hay không. Tuy nhiên, hãng không đề cập đến việc địa chỉ email cũng được liệt kê trong dữ liệu bị rò rỉ, dù đây không phải là thông tin công khai.
Mới đây, bộ dữ liệu của 2,6 triệu người dùng DuoLingo đã một lần nữa được rao bán trên một phiên bản mới của diễn đàn hack B*****ed, với giá gần như miễn phí là 2,13 đô la.
Dữ liệu bị thu thập bằng cách sử dụng giao diện lập trình ứng dụng (API) bị lộ lọt và đã được chia sẻ công khai ít nhất là từ tháng 3 năm 2023. API này cho phép nhập tên người dùng vào và nhận lại đầu ra là các thông tin công khai của họ ở dạng JSON. Tuy nhiên, bạn cũng có thể nhập địa chỉ email vào API để truy ngược xem địa chỉ đó có được liên kết với tài khoản Duolingo hợp lệ.
Hacker có thể sử dụng các công cụ thu thập email để nhập hàng triệu địa chỉ thư điện tử (đã bị lộ trong các vụ vi phạm dữ liệu trước đó) vào API và xác nhận xem chúng có thuộc tài khoản Duolingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai của nạn nhân.
Hiện API này vẫn còn hoạt động, ngay cả sau khi việc tin tặc lạm dụng nó được báo cáo cho Duolingo vào tháng 1. Duolingo hiện vẫn im lặng trước vấn đề này.
Duolingo là một trong những trang web học ngôn ngữ lớn nhất thế giới, với hơn 74 triệu người dùng hàng tháng. Vào tháng 1 năm 2023, tin tặc đã bán dữ liệu thu thập được của 2,6 triệu người dùng Duolingo trên diễn đàn B*****ed (đã ngừng hoạt động) với giá 1.500 đô la.
Dữ liệu này bao gồm thông tin đăng nhập, tên thật và những thông tin không công khai như địa chỉ email hay thông tin nội bộ liên quan đến dịch vụ Duolingo. Mặc dù tên thật và tên đăng nhập đã được công khai trong hồ sơ Duolingo của người dùng, các chuyên gia vẫn lo ngại về mức độ nguy hiểm của vụ rò rỉ do địa chỉ email bị lộ lọt có thể bị hacker sử dụng trong các cuộc tấn công.
Khi dữ liệu được rao bán, Duolingo xác nhận rằng chúng được lấy từ thông tin hồ sơ công khai và họ đang điều tra xem có nên thực hiện các biện pháp phòng ngừa bổ sung hay không. Tuy nhiên, hãng không đề cập đến việc địa chỉ email cũng được liệt kê trong dữ liệu bị rò rỉ, dù đây không phải là thông tin công khai.
Mới đây, bộ dữ liệu của 2,6 triệu người dùng DuoLingo đã một lần nữa được rao bán trên một phiên bản mới của diễn đàn hack B*****ed, với giá gần như miễn phí là 2,13 đô la.
Dữ liệu bị thu thập bằng cách sử dụng giao diện lập trình ứng dụng (API) bị lộ lọt và đã được chia sẻ công khai ít nhất là từ tháng 3 năm 2023. API này cho phép nhập tên người dùng vào và nhận lại đầu ra là các thông tin công khai của họ ở dạng JSON. Tuy nhiên, bạn cũng có thể nhập địa chỉ email vào API để truy ngược xem địa chỉ đó có được liên kết với tài khoản Duolingo hợp lệ.
Hacker có thể sử dụng các công cụ thu thập email để nhập hàng triệu địa chỉ thư điện tử (đã bị lộ trong các vụ vi phạm dữ liệu trước đó) vào API và xác nhận xem chúng có thuộc tài khoản Duolingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai của nạn nhân.
Hiện API này vẫn còn hoạt động, ngay cả sau khi việc tin tặc lạm dụng nó được báo cáo cho Duolingo vào tháng 1. Duolingo hiện vẫn im lặng trước vấn đề này.
Nguồn: Bleeping Computer