Vào ngày 21/8, một người quản trị của diễn đàn hacker đã đăng tải dữ liệu này trên trang web của họ và "biếu tặng" cho thành viên khác. Để sở hữu thông tin về 2,6 triệu người dùng DuoLingo, bất kỳ ai muốn có được chỉ cần đăng ký tài khoản và chi trả 8 "credit", tương đương 2,13 USD cho diễn đàn. DuoLingo là một ứng dụng học ngoại ngữ phổ biến với hơn 300 triệu người dùng, bao gồm cả người Việt Nam.
Hacker này cho hay bộ dữ liệu trước đây đã từng bị một hacker rao bán trên diễn đàn Breachforums vào tháng 1 với giá 1.500 USD. Tuy nhiên, diễn đàn này đã bị tấn công và thông tin về bộ dữ liệu đã biến mất. Nhưng người quản trị đã kịp sao chép và chia sẻ lại.
Bộ dữ liệu chứa thông tin như email, tên, ngôn ngữ đang học, khóa học và một số còn có số điện thoại, đã được thu thập từ người dùng DuoLingo. Một mẫu dữ liệu xem trước với thông tin của khoảng 1.000 người cũng đã được chia sẻ, trong đó có ít nhất 9 tài khoản liên quan đến Việt Nam.
Các chuyên gia bảo mật cho rằng, dữ liệu như thế này nếu rơi vào tay kẻ xấu có thể được sử dụng cho các cuộc tấn công trong tương lai.
Khi dữ liệu bị rò rỉ vào đầu năm, DuoLingo đã khẳng định rằng nền tảng của họ không bị tấn công, và những thông tin như tên đăng nhập của người dùng đã công khai. Tuy nhiên, họ đã không trả lời về các dữ liệu nhạy cảm như email và số điện thoại, những thông tin không nên được chia sẻ.
Các chuyên gia cho rằng, các thông tin này có thể đã bị lộ qua lỗ hổng trong giao diện lập trình ứng dụng (API) của DuoLingo. API này cho phép truy xuất hồ sơ công khai thông qua tên người dùng. Bằng cách nhập email vào API, người tấn công có thể xác định xem email đó có liên kết với tài khoản hợp lệ hay không.
Điều này có thể giúp hacker tạo một cơ sở dữ liệu với các email lấy từ các cuộc tấn công khác, sau đó dùng API của DuoLingo để xác định xem chúng thuộc về tài khoản nào và bán dữ liệu này. Dù lỗ hổng của API này đã được phát hiện từ tháng 1, nhưng DuoLingo vẫn tiếp tục sử dụng nó.
Thông tin này cho thấy sự lơ là của các nền tảng với dữ liệu mà họ coi là đã bị tiết lộ trên Internet. Đối với thị trường mua bán dữ liệu, ngay cả khi dữ liệu đã được công khai, người mua vẫn có thể kết hợp chúng với thông tin riêng như số điện thoại, email để tăng giá trị dữ liệu và đồng thời tăng rủi ro cho người dùng.
Ví dụ, vào năm 2021, lỗ hổng API "Thêm bạn bè" của Facebook đã được khai thác để liên kết số điện thoại với 533 triệu tài khoản người dùng. Facebook sau đó bị phạt 275,5 triệu USD vì việc lạm dụng dữ liệu này.
