Duolingo là một trong những ứng dụng học ngôn ngữ phổ biến với hơn 74 triệu người dùng hàng tháng trên toàn thế giới.
Vào tháng 1 năm 2023, một tài khoản đã rao bán dữ liệu của 2,6 triệu người dùng Duolingo trên diễn đàn hack Breached (hiện đã ngừng hoạt động) với giá 1.500 USD.
Dữ liệu này bao gồm các thông tin công khai và riêng tư, đơn cử như tên thật, địa chỉ email, thông tin nội bộ liên quan đến dịch vụ Duolingo. Những thông tin này có thể được sử dụng để nhắm mục tiêu tấn công lừa đảo.
 |
| Dữ liệu người dùng Duolingo bị rao bán trên một diễn đàn hack. Ảnh: Falcon Feeds |
Chia sẻ với The Record, Duolingo xác nhận rằng dữ liệu rò rỉ được lấy từ thông tin hồ sơ công khai và họ đang tiến hành điều tra. Tuy nhiên thực tế là địa chỉ email không phải là thông tin công khai.
Dữ liệu được thu thập bằng cách sử dụng giao diện lập trình ứng dụng (API), cho phép mọi người gửi tên người dùng và truy xuất đầu ra JSON có chứa thông tin hồ sơ công khai của người dùng.
BleepingComputer đã xác nhận rằng API này vẫn được cung cấp công khai cho bất kỳ ai trên web, ngay cả sau khi việc lạm dụng API được báo cáo cho Duolingo vào tháng 1-2023.
BleepingComputer đã liên hệ với Duolingo để hỏi về lý do tại sao API vẫn được cung cấp công khai nhưng không nhận được phản hồi tại thời điểm xuất bản này.
 |
| Duolingo là một trong những ứng dụng học ngoại ngữ phổ biến nhất tại Việt Nam. Ảnh: TIỂU MINH |
Các công ty thường có xu hướng không quan tâm đến những dữ liệu công khai trên website, tuy nhiên, khi chúng được trộn với các dữ liệu riêng tư như số điện thoại, email… thì việc này có thể khiến người dùng gặp rủi ro cao hơn, và có khả năng vi phạm luật bảo vệ dữ liệu.
Ví dụ, vào năm 2021, Facebook đã bị rò rỉ dữ liệu sau khi API "Thêm bạn bè" bị lạm dụng để liên kết số điện thoại với tài khoản Facebook của 533 triệu người dùng. Ủy ban bảo vệ dữ liệu Ireland (DPC) sau đó đã phạt Facebook 265 triệu euro (275,5 triệu USD) vì vụ rò rỉ dữ liệu cóp nhặt này.
Gần đây hơn, một lỗi API của Twitter đã được sử dụng để lấy dữ liệu công khai và địa chỉ email của hàng triệu người dùng, dẫn đến một cuộc điều tra của DPC.