Duolingo è il sito web e l'app per l'apprendimento delle lingue più grande al mondo , con oltre 74 milioni di utenti mensili. Secondo Bleeping Computer, la fuga di dati personali degli utenti di Duolingo potrebbe consentire agli hacker di effettuare attacchi di phishing mirati.
Nel gennaio 2023, un account su un forum di hacker ha venduto i dati raccolti da 2,6 milioni di utenti di Duolingo per 1.500 dollari; il forum ha successivamente cessato le sue attività.
Questi dati includono informazioni di accesso, nomi reali, nonché informazioni non pubbliche, tra cui indirizzi email e informazioni interne relative al servizio di Duolingo. Mentre i profili utente di Duolingo mostrano pubblicamente nomi reali e nomi di accesso, gli indirizzi email rimangono privati.
L'annuncio offriva la vendita di 2,6 milioni di record di dati degli utenti di Duolingo per 1.500 dollari.
Duolingo ha confermato a TheRecord che i dati raccolti e venduti provenivano da profili pubblici e che il servizio sta valutando se adottare misure preventive. Tuttavia, Duolingo non ha menzionato il fatto che nei dati fossero presenti anche indirizzi email.
Ieri, su una nuova versione del forum di hacker, sono stati resi disponibili i dati di 2,6 milioni di utenti al prezzo di soli 2,13 dollari. Questi dati sono stati raccolti tramite un'interfaccia di programmazione delle applicazioni (API) condivisa pubblicamente a partire da marzo 2023.
Questa API di Duolingo consente di richiedere l'accesso alle informazioni del profilo pubblico degli utenti. Tuttavia, è anche possibile fornire un indirizzo email all'API e verificare se tale indirizzo è collegato a un account Duolingo.
BleepingComputer ha affermato che questa API è rimasta pubblicamente disponibile anche dopo che il suo uso improprio è stato segnalato a Duolingo a gennaio.
È plausibile che l'hacker abbia inserito milioni di indirizzi email, probabilmente trapelati in precedenti violazioni di dati, nell'API per verificare se appartenessero ad account Duolingo. Questi indirizzi email sono stati poi utilizzati per creare un dataset contenente informazioni sia pubbliche che private.
Gli hacker hanno ricaricato i dati di 2,6 milioni di utenti di Duolingo a un prezzo irrisorio.
Le aziende tendono a scartare i dati raccolti, poiché la maggior parte di essi è già disponibile pubblicamente. Tuttavia, quando i dati pubblici vengono mescolati con dati privati come numeri di telefono e indirizzi e-mail, il rischio di fuga di informazioni aumenta e si rischia di violare le leggi sulla protezione dei dati.
Nel 2021, Facebook ha subito un'enorme fuga di dati dopo che la sua API "Aggiungi amico" è stata utilizzata impropriamente per collegare i numeri di telefono agli account Facebook di 533 milioni di utenti. La Commissione irlandese per la protezione dei dati (DPC) ha multato Facebook per 265 milioni di euro (275,5 milioni di dollari) per aver causato questa fuga di dati. Più recentemente, una falla nell'API di Twitter è stata utilizzata per accedere a dati e indirizzi email pubblicamente disponibili di milioni di utenti, portando a un'indagine della DPC. Duolingo non ha ancora spiegato perché ha lasciato questa API accessibile pubblicamente nonostante le segnalazioni di un uso improprio.
Link alla fonte
![[Foto] Il faro di Ba Lang An, l'"occhio del mare" nel "museo delle rocce" della provincia di Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
![[Immagine] Il bel tempo aiuta gli studenti ad affrontare l'esame di ammissione al decimo anno con sicurezza.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
Commento (0)