Duolingoユーザー260万人分のデータが漏洩

Duolingoは、月間7,400万人以上のユーザーを抱える世界最大の語学学習ウェブサイト兼アプリです。Bleeping Computerによると、Duolingoユーザーの個人情報が漏洩すれば、ハッカーが標的型フィッシング攻撃を実行する可能性があるとのことです。

2023年1月、ハッカーフォーラムのアカウントがDuolingoユーザー260万人から収集したデータを1,500ドルで販売し、その後フォーラムは閉鎖された。

このデータには、ログイン認証情報、実名、メールアドレスやDuolingoのサービスに関連する内部情報などの非公開情報が含まれます。Duolingoのユーザープロフィールには実名とログイン名が公開されますが、メールアドレスは匿名化されています。

DuolingoはTheRecordに対し、収集・販売されたデータは公的記録から取得されたもので、更なる予防措置を講じる必要があるかどうか調査中であることを確認した。しかし、Duolingoはデータにメールアドレスも含まれていたことについては言及しなかった。

昨日、ハッカーフォーラムの新バージョンで260万人のユーザーデータがわずか2.13ドルで公開されました。このデータは、2023年3月から公開されているアプリケーション・プログラミング・インターフェース（API）を使用して収集されました。

このDuolingo APIでは、誰でもユーザーの公開プロフィール情報のリクエストを送信できます。また、APIにメールアドレスを提供し、そのアドレスがDuolingoアカウントに関連付けられているかどうかを確認することもできます。

BleepingComputerは、1月にDuolingoに不正使用が報告された後も、APIは公開されたままだったと述べた。

ハッカーは、過去のデータ侵害で漏洩した可能性のある数百万件のメールアドレスをAPIに入力し、それらがDuolingoアカウントに属しているかどうかを確認したと考えられます。これらのメールアドレスは、公開情報と非公開情報の両方を含むデータセットを作成するために使用されました。

企業は収集したデータの大部分が既に公開されているため、破棄する傾向があります。しかし、公開データが電話番号やメールアドレスなどの個人情報と混在すると、情報漏洩のリスクが高まり、データ保護法に違反する可能性があります。

2021年、Facebookは「友達追加」APIが悪用され、5億3,300万人のFacebookアカウントに電話番号が紐付けられるという大規模なデータ侵害に見舞われました。アイルランドのデータ保護委員会（DPC）は、このデータ侵害を引き起こしたとしてFacebookに2億6,500万ユーロ（2億7,550万ドル）の罰金を科しました。最近では、TwitterのAPIにバグが発生し、数百万人のユーザーの公開データとメールアドレスがスクレイピングされたため、DPCの調査が行われました。Duolingoは、不正使用の報告を受けてもAPIを一般公開したままにした理由をまだ説明していません。