Duolingo ist die weltweit größte Sprachlern-Website und -App mit über 74 Millionen monatlichen Nutzern. Laut Bleeping Computer könnten die geleakten persönlichen Daten von Duolingo-Nutzern Hackern gezielte Phishing-Angriffe ermöglichen.
Im Januar 2023 verkaufte ein Account in einem Hackerforum Daten von 2,6 Millionen Duolingo-Nutzern für 1.500 US-Dollar; das Forum wurde daraufhin geschlossen.
Diese Daten umfassen Anmeldedaten, Klarnamen und nicht-öffentliche Informationen, darunter E-Mail-Adressen und interne Informationen zum Duolingo-Dienst. Während in Duolingo-Nutzerprofilen Klarnamen und Benutzernamen öffentlich angezeigt werden, sind E-Mail-Adressen anonymisiert.
Anzeige zum Verkauf von 2,6 Millionen Duolingo-Nutzerdaten für 1.500 US-Dollar
Duolingo bestätigte gegenüber TheRecord , dass die gesammelten und verkauften Daten aus öffentlichen Registern stammen und dass das Unternehmen prüft, ob weitere Sicherheitsvorkehrungen getroffen werden müssen. Duolingo erwähnte jedoch nicht, dass auch E-Mail-Adressen in den Daten enthalten waren.
Daten von 2,6 Millionen Nutzern wurden gestern in einer neuen Version des Hackerforums für nur 2,13 Dollar veröffentlicht. Die Daten wurden mithilfe einer Programmierschnittstelle (API) gesammelt, die seit März 2023 öffentlich zugänglich ist.
Über die Duolingo-API kann jeder die öffentlichen Profilinformationen eines Nutzers anfordern. Alternativ kann man der API auch eine E-Mail-Adresse übermitteln und überprüfen, ob diese mit einem Duolingo-Konto verknüpft ist.
BleepingComputer erklärte, die API sei auch dann noch öffentlich zugänglich gewesen, nachdem Duolingo im Januar über ihren Missbrauch informiert worden war.
Vermutlich hat der Hacker Millionen von E-Mail-Adressen – möglicherweise aus früheren Datenlecks – in die API eingegeben, um zu prüfen, ob sie zu Duolingo-Konten gehören. Anschließend wurden diese E-Mail-Adressen verwendet, um einen Datensatz mit öffentlichen und nicht-öffentlichen Informationen zu erstellen.
Hacker lädt Daten von 2,6 Millionen Duolingo-Nutzern zu einem Spottpreis erneut hoch.
Unternehmen neigen dazu, gesammelte Daten zu verwerfen, da ein Großteil davon bereits öffentlich zugänglich ist. Werden öffentliche Daten jedoch mit privaten Daten wie Telefonnummern und E-Mail-Adressen vermischt, erhöht dies das Risiko der Offenlegung von Informationen und kann zu Verstößen gegen Datenschutzgesetze führen.
Im Jahr 2021 erlitt Facebook einen massiven Datenverlust, nachdem die „Freund hinzufügen“-API missbraucht wurde, um Telefonnummern mit den Facebook-Konten von 533 Millionen Nutzern zu verknüpfen. Die irische Datenschutzkommission (DPC) verhängte daraufhin eine Geldstrafe von 265 Millionen Euro (275,5 Millionen US-Dollar) gegen Facebook. Ein kürzlich entdeckter Fehler in der Twitter-API ermöglichte es, öffentliche Daten und E-Mail-Adressen von Millionen von Nutzern zu extrahieren, was eine Untersuchung der DPC nach sich zog. Duolingo hat bisher nicht erklärt, warum die API trotz Missbrauchsmeldungen weiterhin für alle zugänglich blieb.
Quellenlink
![[Foto] Dan-Berg-Ginseng, ein kostbares Geschenk der Natur an das Kinh-Bac-Land](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F30%2F1764493588163_ndo_br_anh-longform-jpg.webp&w=3840&q=75)
Kommentar (0)