Wyciek danych użytkowników Duolingo. Można je kupić za 10 zł

Maksym SłomskiSkomentuj
Wyciek danych użytkowników Duolingo. Można je kupić za 10 zł

Duolingo to jedna z najpopularniejszych darmowych platform do nauki języków obcych, której znakiem rozpoznawczym jest charakterystyczna zielona sowa. Za pośrednictwem strony internetowej lub aplikacji mobilnych użytkownicy z całego świata mogą uczyć się ponad 30 popularnych języków. Niestety, właśnie się okazało, że nastąpił wielki wyciek danych użytkowników Duolingo – aż 2,6 miliona z nich. Można je kupić za bezcen.

Wyciek danych użytkowników Duolingo

Pobrane dane 2,6 miliona użytkowników Duolingo wyciekły na forum hakerskim, umożliwiając tym samym cyberprzestępcom przeprowadzanie ukierunkowanych ataków phishingowych z wykorzystaniem ujawnionych informacji.

Jak się okazało, dane próbowano sprzedać już w styczniu 2023, w cenie wywoławczej 1500 dolarów. Wśród informacji na usuniętym już forum Breached znajdowały się adresy e-mail, zdjęcia i wiele innych.

duolingo wyciek danych
Źródło: zrzut ekranu z forum Breached

Duolingo potwierdziło TheRecord kilka miesięcy temu, że dane zostały pobrane z profili publicznych. Badano wtedy, czy należy podjąć dalsze środki ostrożności. Duolingo nie zrobiło niczego z faktem, że e-maile użytkowników nie były dostępne publicznie.

Informacje ponownie pojawiły się w sieci – za półdarmo

Teraz dane użytkowników Duolingo ponownie trafiły do sprzedaży na nowej wersji forum Breached. Kosztują zaledwie 8 kredytów o wartości 2,13 dolarów, czyli ok. 10 złotych.

Wgrywający opatrzył paczkę danych krótkim komentarzem:

Dzisiaj przesłałem dla Was dane zescrape’owane z Duolingo, dziękuję za uwagę i życzę dobrej zabawy!

Źródło: zrzut ekranu z nowego forum Breached

Dane pobrano przy użyciu ujawnionego interfejsu programowania aplikacji (API), który jest publicznie dostępny w sieci co najmniej od marca 2023 roku. Korzystanie z niego nie jest trudne. API pozwala każdemu na przesłanie na nazwy użytkownika i pobranie danych wyjściowych JSON, zawierających informacje o profilu publicznym użytkownika. Jednakże możliwe jest również wprowadzenie adresu e-mail do API i potwierdzenie, czy jest on powiązany z ważnym kontem DuoLingo.

Nadużywanie API zgłoszono Duolingo w styczniu, jednakże ze strony podmiotu nie było żadnej reakcji. Firmy zwykle traktują pobrane w taki sposób dane jako zupełnie nieistotne wycieki. Powód jest trywialny: dane są publiczne. To, że nie są łatwe do skompilowania zazwyczaj się pomija. Wyciek danych użytkowników Duolingo zapewne zostanie zbagatelizowany.

Duolingo to jedna z największych witryn do nauki języków na świecie, z ponad 74 milionami użytkowników miesięcznie na całym świecie.

Jeśli masz lub miałeś kiedyś konto na Duolingo, przygotuj się na ewentualne wiadomości od oszustów. Uważaj, bądź czujny.

Źródło: Twitter @vxunderground

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.