Duolingo is 's werelds grootste website en app voor taalonderwijs met meer dan 74 miljoen maandelijkse gebruikers. Volgens Bleeping Computer zouden de gelekte persoonlijke gegevens van Duolingo-gebruikers hackers in staat stellen gerichte phishingaanvallen uit te voeren.
In januari 2023 werden via een account op een hackersforum gegevens van 2,6 miljoen Duolingo-gebruikers verkocht voor $ 1.500. Het forum is inmiddels gesloten.
Deze gegevens omvatten inloggegevens, echte namen en niet-openbare informatie, waaronder e-mailadressen en interne informatie met betrekking tot de Duolingo-service. Hoewel Duolingo-gebruikersprofielen openbare echte namen en inlognamen weergeven, worden e-mailadressen geanonimiseerd.
Advertentie verkoopt 2,6 miljoen Duolingo-gebruikersgegevens voor $ 1.500
Duolingo bevestigde tegenover TheRecord dat de verzamelde en verkochte gegevens afkomstig zijn uit openbare registers en dat de dienst onderzoekt of er verdere voorzorgsmaatregelen moeten worden genomen. Duolingo vermeldde echter niet dat er ook e-mailadressen in de gegevens stonden.
Gegevens van 2,6 miljoen gebruikers werden gisteren vrijgegeven op een nieuwe versie van het hackersforum voor slechts $ 2,13. De gegevens werden verzameld met behulp van een application programming interface (API) die sinds maart 2023 openbaar wordt gedeeld.
Met deze Duolingo API kan iedereen een verzoek indienen voor de openbare profielinformatie van een gebruiker. Het is echter ook mogelijk om een e-mailadres aan de API te verstrekken en te bevestigen of dat adres aan een Duolingo-account is gekoppeld.
BleepingComputer meldde dat de API openbaar beschikbaar bleef, zelfs nadat er in januari melding werd gemaakt van misbruik bij Duolingo.
Waarschijnlijk heeft de hacker miljoenen e-mailadressen – mogelijk blootgelegd bij eerdere datalekken – in de API ingevoerd om te controleren of ze bij Duolingo-accounts hoorden. Deze e-mailadressen werden vervolgens gebruikt om een dataset te creëren met zowel openbare als niet-openbare informatie.
Hacker uploadt gegevens van 2,6 miljoen Duolingo-gebruikers opnieuw voor een zeer lage prijs
Bedrijven hebben de neiging verzamelde gegevens te negeren, omdat de meeste ervan al openbaar zijn. Wanneer openbare gegevens echter worden vermengd met privégegevens zoals telefoonnummers en e-mailadressen, is de informatie kwetsbaarder en mogelijk in strijd met de wetgeving inzake gegevensbescherming.
In 2021 kreeg Facebook te maken met een enorme datalek nadat de 'Add Friend' API misbruikt werd om telefoonnummers te koppelen aan de Facebook-accounts van 533 miljoen gebruikers. De Ierse Gegevensbeschermingsautoriteit (DPC) legde Facebook een boete van € 265 miljoen ($ 275,5 miljoen) op voor het veroorzaken van het datalek. Een recente bug in de API van Twitter werd gebruikt om openbare gegevens en e-mailadressen van miljoenen gebruikers te scrapen, wat leidde tot een onderzoek door de DPC. Duolingo heeft nog niet uitgelegd waarom het zijn API na meldingen van misbruik voor iedereen open heeft gehouden.
Bronlink
![[Foto] Hoofdredacteur van de krant Nhan Dan, Le Quoc Minh, ontving de werkdelegatie van de krant Pasaxon](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/da79369d8d2849318c3fe8e792f4ce16)
![[Foto] Premier Pham Minh Chinh leidt de 14e vergadering van het stuurcomité voor IUU](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/a5244e94b6dd49b3b52bbb92201c6986)
Reactie (0)