Dữ liệu cá nhân của 2,6 triệu người dùng ứng dụng DuoLingo bị rò rỉ

Dữ liệu của hàng triệu người dùng DuoLingo, trong đó có người Việt, được chia sẻ gần như miễn phí trên diễn đàn hacker.

Mới đây, một quản trị viên diễn đàn hacker đã đăng bộ dữ liệu này lên trang để "tặng" các thành viên. Người dùng chỉ cần đăng ký tài khoản và trả bằng 8 "credit", tương đương 2,13 USD cho diễn đàn để sở hữu thông tin của 2,6 triệu người dùng DuoLingo - một trong những ứng dụng học ngoại ngữ phổ biến nhất hiện nay với 300 triệu người dùng.

Người này cho biết, bộ dữ liệu từng được một hacker rao bán trên diễn đàn Breachforums hồi tháng 1 với giá 1.500 USD. Diễn đàn sau đó bị đánh sập và thông tin về bộ dữ liệu cũng biến mất. Tuy nhiên, quản trị viên này đã kịp sở hữu và chia sẻ lại.

Dữ liệu này bao gồm thông tin đăng nhập, tên thật và những thông tin không công khai như địa chỉ email hay thông tin nội bộ liên quan đến dịch vụ Duolingo. Mặc dù tên thật và tên đăng nhập đã được công khai trong hồ sơ Duolingo của người dùng, các chuyên gia vẫn lo ngại về mức độ nguy hiểm của vụ rò rỉ do địa chỉ email bị lộ lọt có thể bị hacker sử dụng trong các cuộc tấn công.

Khi dữ liệu được rao bán, Duolingo xác nhận rằng, chúng được lấy từ thông tin hồ sơ công khai và họ đang điều tra xem có nên thực hiện các biện pháp phòng ngừa bổ sung hay không. Tuy nhiên, hãng không đề cập đến việc địa chỉ email cũng được liệt kê trong dữ liệu bị rò rỉ, dù đây không phải là thông tin công khai.

Theo các chuyên gia, các thông tin này có thể đến từ lỗ hổng trong giao diện lập trình ứng dụng (API) của DuoLingo. API này cho phép nhập tên người dùng để truy xuất hồ sơ công khai của họ. 

BleepingComputer đã xác nhận rằng, API này vẫn được cung cấp công khai cho bất kỳ ai trên web, ngay cả sau khi việc lạm dụng API được báo cáo cho Duolingo vào tháng 1-2023.

BleepingComputer đã liên hệ với Duolingo để hỏi về lý do tại sao API vẫn được cung cấp công khai nhưng không nhận được phản hồi.

Hiện tại, cách tốt nhất với người dùng Duolingo là hãy lập tức đổi mật khẩu email mình sử dụng để đăng nhập, hạn chế việc truy cập email này vào những việc quan trọng.

Các công ty thường có xu hướng không quan tâm đến những dữ liệu công khai trên website, tuy nhiên, khi chúng được trộn với các dữ liệu riêng tư như số điện thoại, email… thì việc này có thể khiến người dùng gặp rủi ro cao hơn, và có khả năng vi phạm luật bảo vệ dữ liệu.

Ví dụ, vào năm 2021, Facebook đã bị rò rỉ dữ liệu sau khi API "Thêm bạn bè" bị lạm dụng để liên kết số điện thoại với tài khoản Facebook của 533 triệu người dùng. Ủy ban bảo vệ dữ liệu Ireland (DPC) sau đó đã phạt Facebook 265 triệu euro (275,5 triệu USD) vì vụ rò rỉ dữ liệu cóp nhặt này.

Gần đây hơn, một lỗi API của Twitter đã được sử dụng để lấy dữ liệu công khai và địa chỉ email của hàng triệu người dùng, dẫn đến một cuộc điều tra của DPC.