Duolingo là website và ứng dụng học ngôn ngữ lớn nhất thế giới với hơn 74 triệu người dùng hằng tháng. Theo Bleeping Computer, những dữ liệu cá nhân của người dùng Duolingo bị lộ sẽ cho phép hacker thực hiện các cuộc tấn công lừa đảo có chủ đích.
Trong tháng 1/2023, một tài khoản trên diễn đàn hacker đã bán dữ liệu thu thập được từ 2,6 triệu người dùng Duolingo với giá 1.500 USD, hiện diễn đàn này cũng đã ngừng hoạt động.
Dữ liệu này bao gồm các thông tin đăng nhập, tên thật cũng như thông tin không công khai, bao gồm địa chỉ email và thông tin nội bộ liên quan đến dịch vụ của Duolingo. Dù hồ sơ người dùng Duolingo công khai tên thật và tên đăng nhập, nhưng địa chỉ email lại là thông tin ẩn giấu.
Duolingo xác nhận với TheRecord rằng dữ liệu bị thu thập và rao bán được lấy từ hồ sơ công khai, dịch vụ này cũng đang điều tra xem có nên thực hiện các biện pháp phòng ngừa hay không. Tuy nhiên, Duolingo không đề cập đến thực tế là địa chỉ email cũng được liệt kê trong dữ liệu.
Dữ liệu từ 2,6 triệu người dùng đã được phát hành ngày hôm qua trên phiên bản mới của diễn đàn hacker với giá chỉ 2,13 USD. Dữ liệu này được thu thập bằng cách sử dụng giao diện lập trình ứng dụng (API) được chia sẻ công khai kể từ tháng 3.2023.
API này của Duolingo cho phép mọi người gửi truy xuất thông tin hồ sơ công khai của người dùng. Tuy nhiên, cũng có thể cung cấp địa chỉ email vào API và xác nhận xem địa chỉ đó có được liên kết với tài khoản Duolingo hay không.
BleepingComputer cho biết API này vẫn được cung cấp công khai ngay cả sau khi việc lạm dụng nó được báo cáo cho Duolingo vào tháng 1.
Có thể dự đoán hacker đã đưa hàng triệu địa chỉ email - có thể bị lộ trong các vụ vi phạm dữ liệu trước đó - vào API để xem có thuộc tài khoản Duolingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai.
Các công ty có xu hướng loại bỏ dữ liệu thu thập, vì hầu hết chúng đã được công khai. Tuy nhiên khi dữ liệu công khai được trộn với dữ liệu riêng tư như số điện thoại và địa chỉ email, nó khiến thông tin bị lộ trở nên rủi ro hơn và có khả năng vi phạm luật bảo vệ dữ liệu.
Vào năm 2021, Facebook đã bị rò rỉ lượng lớn dữ liệu sau khi API "Thêm bạn bè" (Add Friend) bị lạm dụng để liên kết số điện thoại với tài khoản Facebook của 533 triệu người dùng. Ủy ban bảo vệ dữ liệu Ireland (DPC) đã phạt Facebook 265 triệu euro (275,5 triệu USD) vì đã gây ra vụ rò rỉ dữ liệu này. Gần đây một lỗi trong API của Twitter đã được sử dụng để lấy dữ liệu công khai và địa chỉ email của hàng triệu người dùng, dẫn đến một cuộc điều tra của DPC. Hiện Duolingo vẫn chưa giải thích vì sao vẫn để API này công khai cho tất cả mọi người sau khi có báo cáo lạm dụng.