Duolingo ist die weltweit größte Website und App zum Sprachenlernen mit über 74 Millionen Nutzern pro Monat. Laut Bleeping Computer könnten Hacker durch die Veröffentlichung der persönlichen Daten von Duolingo-Nutzern gezielte Phishing-Angriffe durchführen.
Im Januar 2023 verkaufte ein Konto in einem Hackerforum Daten von 2,6 Millionen Duolingo-Benutzern für 1.500 US-Dollar, und das Forum wurde seitdem geschlossen.
Zu diesen Daten gehören Anmeldedaten, echte Namen und nicht öffentliche Informationen, darunter E-Mail-Adressen und interne Informationen zum Duolingo-Dienst. Während in Duolingo-Benutzerprofilen echte Namen und Anmeldenamen öffentlich angezeigt werden, sind E-Mail-Adressen anonymisiert.
Anzeige, in der 2,6 Millionen Duolingo-Benutzerdaten für 1.500 US-Dollar verkauft werden
Duolingo bestätigte gegenüber TheRecord , dass die gesammelten und verkauften Daten aus öffentlichen Aufzeichnungen stammen und dass der Dienst prüft, ob weitere Vorsichtsmaßnahmen ergriffen werden müssen. Duolingo erwähnte jedoch nicht, dass in den Daten auch E-Mail-Adressen aufgeführt waren.
Daten von 2,6 Millionen Nutzern wurden gestern in einer neuen Version des Hackerforums für nur 2,13 Dollar veröffentlicht. Die Daten wurden mithilfe einer Anwendungsprogrammierschnittstelle (API) gesammelt, die seit März 2023 öffentlich zugänglich ist.
Mit dieser Duolingo-API kann jeder die öffentlichen Profilinformationen eines Benutzers anfordern. Es ist jedoch auch möglich, der API eine E-Mail-Adresse mitzuteilen und zu bestätigen, ob diese Adresse mit einem Duolingo-Konto verknüpft ist.
BleepingComputer sagte, die API sei auch dann noch öffentlich verfügbar geblieben, nachdem Duolingo im Januar über ihren Missbrauch informiert worden war.
Vermutlich hat der Hacker Millionen von E-Mail-Adressen – möglicherweise aus früheren Datenlecks – in die API eingespeist, um zu prüfen, ob sie zu Duolingo-Konten gehörten. Diese E-Mail-Adressen wurden dann verwendet, um einen Datensatz zu erstellen, der sowohl öffentliche als auch nicht-öffentliche Informationen enthielt.
Hacker lädt Daten von 2,6 Millionen Duolingo-Benutzern zu einem sehr günstigen Preis erneut hoch
Unternehmen neigen dazu, gesammelte Daten zu verwerfen, da die meisten davon bereits öffentlich sind. Werden öffentliche Daten jedoch mit privaten Daten wie Telefonnummern und E-Mail-Adressen vermischt, erhöht dies das Risiko, dass die Informationen offengelegt werden, und verstößt möglicherweise gegen Datenschutzgesetze.
Im Jahr 2021 erlitt Facebook einen massiven Datendiebstahl, nachdem seine API „Freund hinzufügen“ missbraucht wurde, um Telefonnummern mit den Facebook-Konten von 533 Millionen Nutzern zu verknüpfen. Die irische Datenschutzkommission (DPC) verhängte gegen Facebook eine Geldstrafe von 265 Millionen Euro (275,5 Millionen US-Dollar) wegen des Datendiebstahls. Ein kürzlich aufgetretener Fehler in der API von Twitter wurde ausgenutzt, um öffentliche Daten und E-Mail-Adressen von Millionen von Nutzern abzugreifen, was zu einer Untersuchung der DPC führte. Duolingo hat noch keine Erklärung dafür abgegeben, warum es seine API nach Missbrauchsmeldungen für alle zugänglich ließ.
[Anzeige_2]
Quellenlink
Kommentar (0)