듀오링고 사용자 260만 명의 데이터가 유출되었습니다.

듀오링고는 더레코드와의 인터뷰 에서 수집 및 판매된 데이터가 공개 프로필에서 가져온 것이며, 예방 조치를 취해야 할지 여부를 조사 중이라고 확인했습니다. 그러나 듀오링고는 데이터에 이메일 주소도 포함되어 있었다는 사실은 언급하지 않았습니다.

어제 해커 포럼의 새로운 버전에서 260만 명 사용자의 데이터가 단돈 2.13달러에 공개되었습니다. 이 데이터는 2023년 3월부터 공개적으로 공유되는 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 수집되었습니다.

이 듀오링고 API를 통해 사용자는 다른 사용자의 공개 프로필 정보에 대한 접근 권한을 제출할 수 있습니다. 또한, 이메일 주소를 API에 제공하여 해당 주소가 듀오링고 계정에 연결되어 있는지 확인할 수도 있습니다.

BleepingComputer는 이 API가 1월에 듀오링고에 오용 사실이 보고된 후에도 여전히 공개적으로 이용 가능했다고 밝혔습니다.

해커가 이전 데이터 유출 사건에서 유출되었을 가능성이 있는 수백만 개의 이메일 주소를 API에 입력하여 해당 이메일 주소가 듀오링고 계정에 속하는지 확인했을 가능성이 있습니다. 이렇게 얻은 이메일 주소를 이용하여 공개 정보와 비공개 정보를 모두 포함하는 데이터 세트를 생성했을 수 있습니다.

기업들은 수집된 데이터가 대부분 이미 공개되어 있기 때문에 폐기하는 경향이 있습니다. 그러나 공개 데이터와 전화번호, 이메일 주소와 같은 개인 데이터가 혼합될 경우 정보 유출 위험이 커지고 데이터 보호법을 위반할 가능성이 높아집니다.

2021년 페이스북은 '친구 추가' API가 악용되어 5억 3,300만 명의 사용자 전화번호가 페이스북 계정에 연결되는 대규모 데이터 유출 사고를 겪었습니다. 아일랜드 데이터 보호 위원회(DPC)는 이 데이터 유출 사고에 대한 책임으로 페이스북에 2억 6,500만 유로(약 2억 7,550만 달러)의 벌금을 부과했습니다. 최근에는 트위터 API의 취약점을 이용해 수백만 명의 사용자 공개 데이터와 이메일 주소에 접근하는 데 성공하여 DPC의 조사가 진행 중입니다. 듀오링고는 악용 사례 보고에도 불구하고 해당 API를 공개적으로 접근 가능하게 둔 이유에 대해 아직까지 해명하지 않고 있습니다.