Duolingo là website và ứng dụng học ngôn ngữ lớn nhất thế giới với hơn 74 triệu người dùng hằng tháng.
Ngày 21/8, một quản trị viên diễn đàn hacker đã đăng bộ dữ liệu này lên trang để "tặng" các thành viên. Người dùng chỉ cần đăng ký tài khoản và trả bằng 8 "credit", tương đương 2,13 USD cho diễn đàn để sở hữu thông tin của 2,6 triệu người dùng DuoLingo.
Bộ dữ liệu được chia sẻ lại trên một diễn đàn hacker. Ảnh: Lưu Quý.
Theo lời giới thiệu, dữ liệu gồm email, tên, ngôn ngữ đang học, khóa học và một số có cả số điện thoại được thu thập từ người dùng DuoLingo. Quản trị viên cũng chia sẻ một file xem trước với thông tin của khoảng 1.000 người, trong đó có ít nhất 9 tài khoản liên quan đến từ khóa Việt Nam
Duolingo xác nhận với tờ TheRecord rằng dữ liệu bị thu thập và rao bán được lấy từ hồ sơ công khai, dịch vụ này cũng đang điều tra xem có nên thực hiện các biện pháp phòng ngừa hay không. Tuy nhiên, Duolingo không đề cập đến thực tế là địa chỉ email cũng được liệt kê trong dữ liệu.
Theo các chuyên gia, các thông tin này có thể đến từ lỗ hổng trong giao diện lập trình ứng dụng (API) của DuoLingo. API này cho phép nhập tên người dùng để truy xuất hồ sơ công khai của họ. Ngoài ra, khi nhập một email vào API, chúng có thể trả về thông tin email đó có liên kết với một tài khoản hợp lệ hay không.
Từ đây, hacker có thể sử dụng tệp email thu thập từ các vụ hack khác, sau đó nhập vào API của DuoLingo để quét xem chúng thuộc về tài khoản nào, từ đó làm giàu thêm dữ liệu về người dùng và rao bán. Lỗ hổng của API này đã bị cảnh báo từ tháng 1, nhưng đến nay vẫn được DuoLingo sử dụng.
Theo BleepingComputer, điều này cho thấy sự chủ quan của các nền tảng với dữ liệu mà họ cho là đã bị công khai trên Internet.