2023/08/24

إذا كنت تستعمل Duolingo لتعلم اللغات فقد تم اختراقه ويتم كشف الملايين من بيانات المستخدم

بالنسبة لمستخدمي تطبيق تعلم اللغة Duolingo ، هناك بعض الأخبار القاتمة.  فقد تم تسريب بيانات 2.6 مليون من مستخدميه من خلال منتدى القراصنة، والذي يمكّن أي فرد يتمتع بالمهارات المطلوبة من تنفيذ هجمات التصيد الاحتيالي  وستخدام المعلومات التي تم الحصول عليها.

حدث تسريب هذه المعلومات في يناير 2023، حيث تم طرحها للبيع بمبلغ 1500 دولار على منتدى Breached hacking، وهي منصة خارج الخدمة حاليًا. تتضمن البيانات المكشوفة أسماء المستخدمين والأسماء الحقيقية، بالإضافة إلى تفاصيل حساسة مثل عناوين البريد الإلكتروني وتفاصيل الخدمة الداخلية.

على الرغم من أن أسماء المستخدمين تشكل معلومات عامة وتدمج الملف الشخصي لكل مستخدم، إلا أن رسائل البريد الإلكتروني ليست كذلك. قد يؤدي هذا الاختلاف إلى تعريض المستخدمين لهجمات تصيد محتملة عبر البريد الإلكتروني.

عندما تم اكتشاف هذا الموقف ، أكد Duolingo أنه تم الحصول على البيانات العامة فقط في الاختراق الأمني. ومع ذلك، فقد تجاهلوا أن عنوان البريد الإلكتروني لا يعتبر معلومات عامة على منصتهم.

تمت مشاركة مجموعة البيانات الكاملة مؤخرًا في إصدار جديد من منتدى Breached مقابل 8 وحدات فقط (عملة المنتدى الداخلية)، أي حوالي 1.96 دولار . حمل المنتدى الرسالة التالية : "لقد قمت اليوم رفع Duolingo Scrape لتنزيله. شكرا للقراءة والاستمتاع!

لكن التهديد لا يتوقف عند هذا الحد. فقد تم الكشف عن أنه بالإضافة إلى هذا التسريب، هناك خطأ في التطبيق يمكن أن يعرض أمان 74 مليون مستخدم شهريًا يستخدمون هذه الخدمة في جميع أنحاء العالم.

تم الحصول على البيانات باستخدام واجهة برمجة التطبيقات (API) التي تم الكشف عنها لعدة أشهر. لقد شارك خبراء الأمن علنًا كيفية استخدام واجهة برمجة التطبيقات هذه، والتي تسمح لأي شخص بإدخال معلومات المستخدم واستلام ملف JSON يحتوي على البيانات العامة للمستخدم.

نشرت مكتبة Vx-underground، وهي مكتبة البرامج الضارة الشهيرة، على  إكس X ،  أن أحد المتسللين اكتشف خطأً في واجهة برمجة تطبيقات Duolingo. من خلال هذا الخطأ، أدى تقديم بريد إلكتروني صالح إلى واجهة برمجة التطبيقات (API) إلى إرجاع معلومات حساب المستخدم الأساسية مثل الاسم والبريد الإلكتروني واللغات المدروسة.

الوضع الأكثر إثارة للقلق هو أن خطأ Duolingo API لم يتم إصلاحه بعد حتى بعد اكتشاف الاختراق الأمني ​​في يناير. وفقًا لوسيط Bleeping Computer، لا تزال واجهة برمجة التطبيقات (API) متداولة على الإنترنت ويمكن لأي شخص الوصول إليها.

إذا كنت من مستخدمي Duolingo، فليس هناك الكثير مما يمكنك فعله لمنع المخاطر المحتملة على حسابك، لأن هذا لا يرجع إلى تسرب كلمة المرور أو الكشف عن معلومات خاصة تمامًا.

هذا هو أفضل تطبيق بديل لـ Duolingo لتعلم اللغات .. تجربتي معه لمدة شهرين


المصدر : حوحو للمعلوميات

تبليغ

التبليغ عن مشكل أو رابط معطل

مواضيع مشابهة

ليست هناك تعليقات:

إرسال تعليق

نموذج الاتصال

الاسم

بريد إلكتروني *

رسالة *