Duolingo es la plataforma y aplicación de aprendizaje de idiomas más grande del mundo , con más de 74 millones de usuarios mensuales. Según Bleeping Computer, la filtración de datos personales de los usuarios de Duolingo permitiría a los hackers lanzar ataques de phishing dirigidos.
En enero de 2023, una cuenta en un foro de piratas informáticos vendió datos recopilados de 2,6 millones de usuarios de Duolingo por 1500 dólares, y desde entonces el foro ha sido cerrado.
Estos datos incluyen credenciales de inicio de sesión, nombres reales e información no pública, como direcciones de correo electrónico e información interna relacionada con el servicio de Duolingo. Si bien los perfiles de usuario de Duolingo muestran públicamente nombres reales y nombres de inicio de sesión, las direcciones de correo electrónico son anónimas.
Un anuncio vende datos de 2,6 millones de usuarios de Duolingo por 1.500 dólares
Duolingo confirmó a TheRecord que los datos recopilados y vendidos se obtuvieron de registros públicos y que el servicio está investigando si tomará precauciones adicionales. Sin embargo, Duolingo no mencionó que las direcciones de correo electrónico también figuraban en los datos.
Ayer se publicaron datos de 2,6 millones de usuarios en una nueva versión del foro de hackers por tan solo 2,13 $. Los datos se recopilaron mediante una interfaz de programación de aplicaciones (API) que se ha compartido públicamente desde marzo de 2023.
Esta API de Duolingo permite a cualquier persona enviar una solicitud para recuperar la información pública del perfil de un usuario. Sin embargo, también es posible proporcionar una dirección de correo electrónico a la API y confirmar si está asociada a una cuenta de Duolingo.
BleepingComputer dijo que la API permaneció disponible públicamente incluso después de que se informara de su abuso a Duolingo en enero.
Es posible que el hacker introdujera millones de direcciones de correo electrónico —probablemente expuestas en filtraciones de datos anteriores— en la API para comprobar si pertenecían a cuentas de Duolingo. Estas direcciones se utilizaron posteriormente para crear un conjunto de datos con información pública y privada.
Un hacker vuelve a subir los datos de 2,6 millones de usuarios de Duolingo a un precio muy bajo
Las empresas tienden a descartar los datos recopilados, ya que la mayoría ya son públicos. Sin embargo, cuando se mezclan datos públicos con datos privados, como números de teléfono y direcciones de correo electrónico, la información expuesta es más riesgosa y potencialmente infringe las leyes de protección de datos.
En 2021, Facebook sufrió una filtración masiva de datos tras el uso indebido de su API "Añadir amigo" para vincular números de teléfono a las cuentas de Facebook de 533 millones de usuarios. La Comisión Irlandesa de Protección de Datos (CPD) multó a Facebook con 265 millones de euros (275,5 millones de dólares) por provocar la filtración. Un fallo reciente en la API de Twitter se utilizó para extraer datos públicos y direcciones de correo electrónico de millones de usuarios, lo que dio lugar a una investigación por parte de la CPD. Duolingo aún no ha explicado por qué dejó la API abierta al público tras recibir denuncias de abuso.
[anuncio_2]
Enlace de origen
Kommentar (0)