Dữ liệu bị thu thập của 2,6 triệu người dùng DuoLingo đã bị rò rỉ trên một diễn đàn hack, cho phép các tác nhân đe dọa thực hiện các cuộc tấn công lừa đảo có chủ đích bằng cách sử dụng thông tin bị lộ.
Duolingo là một trong những trang web học ngôn ngữ lớn nhất thế giới, với hơn 74 triệu người dùng hàng tháng trên toàn thế giới.
Vào tháng 1 năm 2023, ai đó đã bán dữ liệu được thu thập của 2,6 triệu người dùng DuoLingo trên diễn đàn hack Breached hiện đã ngừng hoạt động với giá 1.500 USD.
Dữ liệu này bao gồm các thông tin đăng nhập công khai và tên thật cũng như thông tin không công khai, bao gồm địa chỉ email và thông tin nội bộ liên quan đến dịch vụ DuoLingo.
Mặc dù tên thật và tên đăng nhập được cung cấp công khai như một phần trong hồ sơ Duolingo của người dùng, nhưng địa chỉ email lại đáng lo ngại hơn vì cho phép sử dụng dữ liệu công khai này trong các cuộc tấn công.
Dữ liệu Duolingo bị thu thập được rao bán trên một diễn đàn hack
Nguồn: Falcon Feeds
Khi dữ liệu được rao bán, DuoLingo xác nhận với TheRecord rằng được lấy từ thông tin hồ sơ công khai và họ đang điều tra xem có nên thực hiện các biện pháp phòng ngừa thêm hay không.
Tuy nhiên, Duolingo không đề cập đến thực tế là địa chỉ email cũng được liệt kê trong dữ liệu, đây không phải là thông tin công khai.
Lần đầu tiên được phát hiện bởi VX-Underground, tập dữ liệu thu thập được gồm 2,6 triệu người dùng đã được phát hành ngày hôm qua trên phiên bản mới của diễn đàn hack Breached với 8 tín dụng trang web, trị giá chỉ 2,13 USD.
“Hôm nay tôi đã tải Duolingo Scrape lên để bạn tải xuống, cảm ơn bạn đã đọc và thưởng thức!”, một bài đăng trên diễn đàn hack viết.
Dữ liệu bị thu thập của Duolingo bị rò rỉ chủ yếu miễn phí
Nguồn: BleepingComputer
Dữ liệu này bị thu thập bằng cách sử dụng giao diện lập trình ứng dụng (API) được chia sẻ công khai ít nhất kể từ tháng 3 năm 2023, với các nhà nghiên cứu đã tweet và ghi lại công khai cách sử dụng API.
API cho phép mọi người gửi tên người dùng và truy xuất đầu ra JSON chứa thông tin hồ sơ công khai của người dùng. Tuy nhiên, cũng có thể cung cấp địa chỉ email vào API và xác nhận xem địa chỉ đó có được liên kết với tài khoản DuoLingo hợp lệ hay không.
BleepingComputer đã xác nhận rằng API này vẫn được cung cấp công khai cho bất kỳ ai trên web, ngay cả sau khi việc lạm dụng nó được báo cáo cho DuoLingo vào tháng 1.
API này cho phép công cụ thu thập dữ liệu cung cấp hàng triệu địa chỉ email, có thể bị lộ trong các vụ vi phạm dữ liệu trước đó, vào API và xác nhận xem chúng có thuộc tài khoản DuoLingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai.
Một tác nhân đe dọa khác đã chia sẻ thông tin API của riêng chúng, chỉ ra rằng các tác nhân đe dọa muốn sử dụng dữ liệu trong các cuộc tấn công lừa đảo nên chú ý đến các trường cụ thể cho biết người dùng DuoLingo có nhiều quyền hơn người dùng thông thường và do đó trở thành mục tiêu có giá trị hơn.
BleepingComputer đã liên hệ với DuoLingo để hỏi về lý do tại sao API vẫn được cung cấp công khai nhưng không nhận được phản hồi tại thời điểm xuất bản này.
Dữ liệu bị thu thập thường xuyên bị loại bỏ
Các công ty có xu hướng loại bỏ dữ liệu bị thu thập không phải là vấn đề vì hầu hết dữ liệu đã được công khai, ngay cả khi dữ liệu đó không nhất thiết phải dễ biên dịch.
Tuy nhiên, khi dữ liệu công khai trộn lẫn với dữ liệu riêng tư, chẳng hạn như số điện thoại và địa chỉ email, điều đó khiến thông tin bị lộ trở nên rủi ro hơn và có khả năng vi phạm luật bảo vệ dữ liệu.
Ví dụ: vào năm 2021, Facebook đã bị rò rỉ lớn sau khi lỗi API “Thêm bạn bè” bị lạm dụng để liên kết số điện thoại với tài khoản Facebook của 533 triệu người dùng. Ủy ban bảo vệ dữ liệu Ireland (DPC) sau đó đã phạt Facebook 265 triệu euro (275,5 triệu USD) vì rò rỉ dữ liệu bị thu thập này.
Gần đây một lỗi API Twitter đã được sử dụng để lấy dữ liệu công khai và địa chỉ email của hàng triệu người dùng dẫn đến một cuộc điều tra của DPC.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/du-lieu-bi-thu-thap-cua-2-6-trieu-nguoi-dung-duolingo-bi-phat-tan-tren-dien-dan-hack
