繼 Discord 因數據泄露而暫時停止運營之后,最流行的語言學習應用程序 Duolingo 也面臨著數據泄露的問題。用戶 @vx-underground在 X 上發布的帖子(此前曾在推特上發布)稱,一名威脅行為者竊取了超過 260 萬 Duolingo 用戶的數據,并將其發布在了最新版的黑客論壇 "Breached "上。BleepingComputer 在其最近的帖子中已經證實了這一漏洞。

很顯然,黑客是通過操縱 Duolingo API 中現有的漏洞來收集到這些數據的,他們只需向 API 發送一封有效的電子郵件,就能獲取用戶的個人數據、聯系方式、地址等信息。

黑客通過向存在漏洞的 API 發送數百萬個電子郵件地址,則會進一步成功找到了 Duolingo 的活躍用戶。然后,這些電子郵件 ID就會被用來創建一個包含公開的以及非公開信息的數據集。另一種方法是向 API 提供用戶名,然后獲取包含敏感用戶信息的 JSON 數據。

不過,這已經不是第一次在網上出現這種信息了。今年 1 月,Falcon Feeds 通過在推特上發布帖子提高了人們對這一問題的認識和理解。在 Breached 黑客論壇的上一次迭代中,有人曾經以 1,500 美元的價格出售用戶數據庫。數據中泄露了用戶大量的個人信息,其中就包括了電子郵件地址、電話號碼、照片、隱私設置等等。

早些時候,Duolingo 向 TheRecord 證實了此次數據泄露事件的發生,并一直保證正在調查此事。不過,他們并未提及數據中包含用戶的私人信息。

這個問題最令人擔憂的地方在于,盡管 Duolingo 在一月份就已經意識到了這個問題,但被攻擊利用的 API 至今仍然可以在互聯網上進行公開訪問。不過令人遺憾的是,這種事情經常會發生。由于大多數被攻擊的數據涉及的都是之前已經存在的信息,并不是新的用戶信息數據集,因此企業往往會直接忽略它。

在 Duolingo 的案例中,外泄的數據還涉及大量的敏感數據,而這些敏感數據目前還并未公開。雖然 Duolingo 尚未解決這一問題,但在這種情況下,用戶最多只能修改登錄憑據或者刪除 Duolingo 賬戶。

大數據 黑客 隱私泄露 信息泄露
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接