Dữ liệu 2,6 triệu người dùng Duolingo bị phát tán công khai

Trong tháng 1/2023, một tài khoản trên diễn đàn hacker đã bán dữ liệu thu thập được từ 2,6 triệu người dùng Duolingo với giá 1.500 USD. Diễn đàn sau đó bị đánh sập và thông tin về bộ dữ liệu cũng biến mất.

Tuy nhiên, quản trị viên diễn đàn đã sao lưu và chia sẻ lại. Dữ liệu người dùng Duolingo bị lộ gồm các thông tin đăng nhập, tên thật cũng như thông tin không công khai, bao gồm địa chỉ email và thông tin nội bộ liên quan đến dịch vụ của Duolingo. Dù hồ sơ người dùng Duolingo công khai tên thật và tên đăng nhập, nhưng địa chỉ email lại là thông tin ẩn giấu. Một số trường hợp có cả số điện thoại.

Phản hồi với thông tin này, Duolingo khẳng định, nền tảng không bị tấn công mạng, mà những thông tin như tên đăng nhập của người dùng vốn là thông tin được công khai và bị thu thập qua các trang mạng khác. Nền tảng này sẽ điều tra thêm để xác định cụ thể vấn đề.

Dữ liệu Duolingo bị thu thập được rao bán trên một diễn đàn tin tặc. (Ảnh: Falcon Feeds)

Dữ liệu từ 2,6 triệu người dùng đã được phát hành trong ngày 23/8 trên phiên bản mới của diễn đàn hacker với giá chỉ 2,13 USD. Dữ liệu này được thu thập bằng cách sử dụng giao diện lập trình ứng dụng (API) được chia sẻ công khai kể từ tháng 3/2023.

API này của Duolingo cho phép mọi người gửi truy xuất thông tin hồ sơ công khai của người dùng. Tuy nhiên, cũng có thể cung cấp địa chỉ email vào API và xác nhận xem địa chỉ đó có được liên kết với tài khoản Duolingo hay không.

BleepingComputer cho biết, API này vẫn được cung cấp công khai ngay cả sau khi việc lạm dụng nó được báo cáo cho Duolingo vào tháng 1.

Có thể dự đoán hacker đã đưa hàng triệu địa chỉ email, có thể bị lộ trong các vụ vi phạm dữ liệu trước đó, vào API để xem có thuộc tài khoản Duolingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai.