Duolingo, trang web và ứng dụng học ngôn ngữ hàng đầu trên thế giới, hiện có hơn 74 triệu người dùng hàng tháng. Theo Bleeping Computer, thông tin cá nhân của người dùng Duolingo đã bị rò rỉ, đặt người dùng trong tình huống có thể bị kẻ xấu tiến hành các hoạt động lừa đảo có mục đích cụ thể. Tháng 1/2023, một tài khoản trên diễn đàn hacker đã rao bán thông tin thu thập được từ 2,6 triệu người dùng Duolingo với giá 1.500 USD. Tuy nhiên, diễn đàn đó sau đó đã bị đánh sập và thông tin về tập dữ liệu đã biến mất.
Tuy vậy, quản trị viên của diễn đàn đã thực hiện sao lưu và chia sẻ lại tập dữ liệu. Thông tin cá nhân của người dùng Duolingo bị rò rỉ bao gồm thông tin đăng nhập, tên thật và các thông tin không công khai khác, bao gồm địa chỉ email và thông tin nội bộ liên quan đến dịch vụ của Duolingo. Trong khi hồ sơ người dùng Duolingo công khai tên thật và tên đăng nhập, địa chỉ email lại được giữ bí mật. Một số trường hợp có cung cấp số điện thoại.
Phản hồi với thông tin này, Duolingo khẳng định rằng nền tảng không bị tấn công mạng. Thay vào đó, những thông tin như tên đăng nhập của người dùng đã được công khai và thu thập từ các trang mạng khác. Để giải quyết vấn đề này, Duolingo sẽ tiến hành điều tra chi tiết hơn.
Dữ liệu Duolingo đã bị thu thập và rao bán trên một diễn đàn tin tặc. (Ảnh: Falcon Feeds)
Dữ liệu từ 2,6 triệu người dùng đã được công bố vào ngày 23/8 trên phiên bản mới của diễn đàn hacker với giá chỉ 2,13 USD. Cách thu thập dữ liệu này là thông qua sử dụng giao diện lập trình ứng dụng (API) mà Duolingo đã công khai từ tháng 3/2023.
API của Duolingo cho phép mọi người truy cập thông tin công khai trong hồ sơ của người dùng. Ngoài ra, API cũng cung cấp khả năng nhập địa chỉ email và xác minh liệu địa chỉ đó có được liên kết với tài khoản Duolingo hay không.
Theo BleepingComputer, dù đã có báo cáo về việc lạm dụng API của Duolingo vào tháng 1, API này vẫn được cung cấp công khai.
Có thể dự đoán rằng hacker đã sử dụng hàng triệu địa chỉ email, có thể đã bị lộ trong các vụ vi phạm dữ liệu trước đó, để kiểm tra xem chúng thuộc tài khoản Duolingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo ra một tập dữ liệu chứa thông tin công khai và không công khai.
Bộ Công an đề nghị sớm làm sạch dữ liệu giấy phép lái xe để cập nhật lên VNeID