साइबर सुरक्षा (Cyber Security) अपराधों में वृद्धि के साथ, संगठनों के लिए उपयोगकर्ता डेटा की सुरक्षा और गोपनीयता सुनिश्चित करने के लिए कड़े डेटा सुरक्षा उपायों को अपनाना काफी महत्वपूर्ण हो गया है। हालाँकि, चाहे संगठन कितने भी सावधान क्यों न हों, बुरे कलाकार (hackers) संवेदनशील डेटा निकालने के लिए सुरक्षा में सेंध लगाने का कोई न कोई तरीका ढूंढ ही लेते हैं।
पिछले हफ्ते ही, Discord के एक third-party companion app, Discord.io को डेटा उल्लंघन का सामना करना पड़ा, जिसके परिणामस्वरूप इसे अस्थायी रूप से बंद करना पड़ा। और अब, लोकप्रिय भाषा सीखने वाला ऐप, Duolingo डेटा उल्लंघन (data breach) का शिकार हो गया है। यह जानने के लिए पढ़ते रहें कि Duolingo के किस डेटा तक हैकर्स की पहुंच है और कंपनी इसके बारे में क्या कर रही है।
Duolingo Users Data Leaked Online
@vx-underground द्वारा किए गए एक X पोस्ट (पहले ट्वीट) के अनुसार, एक धमकी देने वाले अभिनेता ने 2.6 मिलियन स्क्रैप किए गए Duolingo उपयोगकर्ता डेटा को निकाला और इसे लोकप्रिय हैकिंग फोरम Breached के एक नए संस्करण पर पोस्ट किया।
BleepingComputer द्वारा हाल में की गयी ब्लॉग पोस्ट में उल्लंघन की पुष्टि की गई थी। और सबसे बुरी बात यह है कि यह डेटा फोरम पर 8 site credits के लिए उपलब्ध कराया गया है, जिसकी कीमत केवल $2.13 है, जो व्यावहारिक रूप से कुछ भी नहीं है।
यह डेटा Duolingo API में एक मौजूदा bug में हेरफेर करके एकत्र किया गया था, जिसने खराब अभिनेता को API पर एक valid email भेजकर व्यक्तिगत उपयोगकर्ता विवरण जैसे उनकी email ID, contact details, addresses और बहुत कुछ हासिल करने की अनुमति दी थी।
Hacker कमजोर API में लाखों email addresses फीड करके active Duolingo users को verify करने में सक्षम था। Verified email IDs का उपयोग तब hacker द्वारा सार्वजनिक और गैर-सार्वजनिक दोनों सूचनाओं वाला डेटासेट बनाने के लिए किया जाता था। वैकल्पिक रूप से, संवेदनशील उपयोगकर्ता डेटा वाले JSON आउटपुट को पुनः प्राप्त करने के लिए API में उपयोगकर्ता नाम फीड करना भी संभव है।
हालाँकि, यह पहली बार नहीं है कि यह डेटा ऑनलाइन सामने आया है। जनवरी में Falcon Feeds ने एक X पोस्ट के ज़रिए इस मुद्दे पर प्रकाश डाला था। स्क्रैप किए गए database को $1,500 में Breached hacking forum के पुराने संस्करण पर पोस्ट किया गया था। उजागर किए गए data में users की व्यक्तिगत जानकारी जैसे उनके email addresses, phone numbers, pictures, privacy settings और बहुत कुछ शामिल था।
Duolingo ने उस समय TheRecord को इस मुद्दे को स्वीकार किया और सभी को आश्वासन दिया कि वह मामले की जांच कर रहा है। हालाँकि, प्लेटफ़ॉर्म किसी तरह इस तथ्य से चूक गया कि ईमेल पते जैसी निजी जानकारी भी स्क्रैप किए गए डेटा का हिस्सा थी।
अब, इस मुद्दे के बारे में सबसे चिंताजनक बात यह है कि संक्रमित infected API भी वेब पर सभी के लिए खुले तौर पर उपलब्ध है, भले ही इस मुद्दे ने जनवरी में Duolingo का ध्यान आकर्षित किया हो। और दुख की बात है कि यह कोई आश्चर्य की बात नहीं है। Companies अक्सर अपने स्क्रैप किए गए डेटा को नजरअंदाज कर देती हैं क्योंकि इसमें ज्यादातर पहले से ही सार्वजनिक जानकारी होती है और किसी भी विश्वसनीय खतरे को उत्पन्न करने के लिए इसे संकलित करना सबसे आसान नहीं है।
हालाँकि, Duolingo के मामले में, इस स्क्रैप किए गए डेटा में संवेदनशील उपयोगकर्ता जानकारी (sensitive user information) भी शामिल थी, जो सार्वजनिक रूप से उपलब्ध नहीं थी। फिलहाल, हम केवल Duolingo द्वारा इस मुद्दे को प्राथमिकता के आधार पर हल करने का इंतजार कर सकते हैं। और यदि आपका data लीक हुए डेटा में से एक है, तो आप अधिकतम इतना कर सकते हैं कि अपनी साख बदलें और/या अपना Duolingo खाता हटा दें।
