Duolingo to jedna z najpopularniejszych darmowych platform do nauki języków obcych, której znakiem rozpoznawczym jest charakterystyczna zielona sowa. Za pośrednictwem strony internetowej lub aplikacji mobilnych użytkownicy z całego świata mogą uczyć się ponad 30 popularnych języków. Niestety, właśnie się okazało, że nastąpił wielki wyciek danych użytkowników Duolingo – aż 2,6 miliona z nich. Można je kupić za bezcen.
Wyciek danych użytkowników Duolingo
Pobrane dane 2,6 miliona użytkowników Duolingo wyciekły na forum hakerskim, umożliwiając tym samym cyberprzestępcom przeprowadzanie ukierunkowanych ataków phishingowych z wykorzystaniem ujawnionych informacji.
Jak się okazało, dane próbowano sprzedać już w styczniu 2023, w cenie wywoławczej 1500 dolarów. Wśród informacji na usuniętym już forum Breached znajdowały się adresy e-mail, zdjęcia i wiele innych.
Duolingo potwierdziło TheRecord kilka miesięcy temu, że dane zostały pobrane z profili publicznych. Badano wtedy, czy należy podjąć dalsze środki ostrożności. Duolingo nie zrobiło niczego z faktem, że e-maile użytkowników nie były dostępne publicznie.
Informacje ponownie pojawiły się w sieci – za półdarmo
Teraz dane użytkowników Duolingo ponownie trafiły do sprzedaży na nowej wersji forum Breached. Kosztują zaledwie 8 kredytów o wartości 2,13 dolarów, czyli ok. 10 złotych.
Wgrywający opatrzył paczkę danych krótkim komentarzem:
Dzisiaj przesłałem dla Was dane zescrape’owane z Duolingo, dziękuję za uwagę i życzę dobrej zabawy!
Dane pobrano przy użyciu ujawnionego interfejsu programowania aplikacji (API), który jest publicznie dostępny w sieci co najmniej od marca 2023 roku. Korzystanie z niego nie jest trudne. API pozwala każdemu na przesłanie na nazwy użytkownika i pobranie danych wyjściowych JSON, zawierających informacje o profilu publicznym użytkownika. Jednakże możliwe jest również wprowadzenie adresu e-mail do API i potwierdzenie, czy jest on powiązany z ważnym kontem DuoLingo.
Nadużywanie API zgłoszono Duolingo w styczniu, jednakże ze strony podmiotu nie było żadnej reakcji. Firmy zwykle traktują pobrane w taki sposób dane jako zupełnie nieistotne wycieki. Powód jest trywialny: dane są publiczne. To, że nie są łatwe do skompilowania zazwyczaj się pomija. Wyciek danych użytkowników Duolingo zapewne zostanie zbagatelizowany.
Duolingo to jedna z największych witryn do nauki języków na świecie, z ponad 74 milionami użytkowników miesięcznie na całym świecie.
Jeśli masz lub miałeś kiedyś konto na Duolingo, przygotuj się na ewentualne wiadomości od oszustów. Uważaj, bądź czujny.
Źródło: Twitter @vxunderground