Duolingo ist die weltweit größte Sprachlern-Website und -App mit über 74 Millionen Nutzern monatlich. Laut Bleeping Computer könnte das Leck persönlicher Daten von Duolingo-Nutzern Hackern gezielte Phishing-Angriffe ermöglichen.
Im Januar 2023 verkaufte ein Account in einem Hackerforum Daten, die von 2,6 Millionen Duolingo-Nutzern gesammelt worden waren, für 1.500 US-Dollar; das Forum hat inzwischen seinen Betrieb eingestellt.
Diese Daten umfassen Anmeldeinformationen, Klarnamen sowie nicht-öffentliche Informationen, darunter E-Mail-Adressen und interne Informationen zum Duolingo-Dienst. Während in Duolingo-Nutzerprofilen Klarnamen und Benutzernamen öffentlich angezeigt werden, bleiben E-Mail-Adressen privat.
In der Anzeige wurden 2,6 Millionen Duolingo-Nutzerdatensätze für 1.500 US-Dollar zum Verkauf angeboten.
Duolingo bestätigte gegenüber TheRecord , dass die gesammelten und verkauften Daten aus öffentlichen Profilen stammen und dass der Dienst prüft, ob Präventivmaßnahmen erforderlich sind. Duolingo erwähnte jedoch nicht, dass auch E-Mail-Adressen in den Daten enthalten waren.
Daten von 2,6 Millionen Nutzern wurden gestern in einer neuen Version des Hackerforums für nur 2,13 US-Dollar veröffentlicht. Diese Daten wurden seit März 2023 mithilfe einer öffentlich zugänglichen Programmierschnittstelle (API) gesammelt.
Diese Duolingo-API ermöglicht es Nutzern, Zugriff auf die öffentlichen Profilinformationen anderer Nutzer zu erhalten. Alternativ kann man der API auch eine E-Mail-Adresse übermitteln und überprüfen, ob diese mit einem Duolingo-Konto verknüpft ist.
BleepingComputer gab an, dass diese API auch nach der Meldung ihres Missbrauchs an Duolingo im Januar weiterhin öffentlich zugänglich war.
Es ist denkbar, dass der Hacker Millionen von E-Mail-Adressen – möglicherweise aus früheren Datenlecks – in die API eingespeist hat, um zu prüfen, ob sie zu Duolingo-Konten gehören. Diese E-Mail-Adressen wurden dann verwendet, um einen Datensatz mit öffentlichen und nicht-öffentlichen Informationen zu erstellen.
Hacker haben die Daten von 2,6 Millionen Duolingo-Nutzern für einen sehr niedrigen Preis erneut hochgeladen.
Unternehmen neigen dazu, gesammelte Daten zu verwerfen, da ein Großteil davon bereits öffentlich zugänglich ist. Werden öffentlich zugängliche Daten jedoch mit privaten Daten wie Telefonnummern und E-Mail-Adressen vermischt, erhöht dies das Risiko eines Datenlecks und kann zu Verstößen gegen Datenschutzgesetze führen.
Im Jahr 2021 erlitt Facebook einen massiven Datenverlust, nachdem die „Freund hinzufügen“-API missbraucht wurde, um Telefonnummern mit den Facebook-Konten von 533 Millionen Nutzern zu verknüpfen. Die irische Datenschutzkommission (DPC) verhängte daraufhin eine Geldstrafe von 265 Millionen Euro (275,5 Millionen US-Dollar) gegen Facebook. Kürzlich wurde eine Sicherheitslücke in der Twitter-API ausgenutzt, um auf öffentlich zugängliche Daten und E-Mail-Adressen von Millionen von Nutzern zuzugreifen, was eine Untersuchung der DPC nach sich zog. Duolingo hat bisher nicht erklärt, warum die API trotz Missbrauchsmeldungen weiterhin öffentlich zugänglich blieb.
Quellenlink
![[Bild] Angenehmes Wetter hilft Schülern, selbstbewusst in die Aufnahmeprüfung der 10. Klasse zu gehen.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
![[Foto] Leuchtturm Ba Lang An – das „Auge des Meeres“ inmitten des „Felsenmuseums“ der Provinz Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
Kommentar (0)