Duolingo er verdens største nettsted og app for språklæring med over 74 millioner månedlige brukere. Ifølge Bleeping Computer ville de lekkede personopplysningene til Duolingo-brukere tillate hackere å utføre målrettede phishing-angrep.
I januar 2023 solgte en konto på et hackerforum data samlet inn fra 2,6 millioner Duolingo-brukere for 1500 dollar, og forumet har siden blitt stengt.
Disse dataene inkluderer påloggingsinformasjon, virkelige navn og ikke-offentlig informasjon, inkludert e-postadresser og intern informasjon relatert til Duolingos tjeneste. Mens Duolingos brukerprofiler viser virkelige navn og påloggingsnavn offentlig, er e-postadresser anonymisert.
Annonse som selger 2,6 millioner Duolingo-brukerdata for 1500 dollar
Duolingo bekreftet overfor TheRecord at dataene som ble samlet inn og solgt ble hentet fra offentlige registre, og at tjenesten undersøker om de skal ta ytterligere forholdsregler. Duolingo nevnte imidlertid ikke at e-postadresser også var oppført i dataene.
Data fra 2,6 millioner brukere ble publisert i går på en ny versjon av hackerforumet for kun 2,13 dollar. Dataene ble samlet inn ved hjelp av et applikasjonsprogrammeringsgrensesnitt (API) som har blitt offentlig delt siden mars 2023.
Dette Duolingo API-et lar hvem som helst sende inn en forespørsel om en brukers offentlige profilinformasjon. Det er imidlertid også mulig å oppgi en e-postadresse til API-et og bekrefte om den adressen er knyttet til en Duolingo-konto.
BleepingComputer sa at API-et forble offentlig tilgjengelig selv etter at misbruket ble rapportert til Duolingo i januar.
Det er sannsynlig at hackeren matet millioner av e-postadresser – muligens eksponert i tidligere datainnbrudd – inn i API-et for å se om de tilhørte Duolingo-kontoer. Disse e-postadressene ble deretter brukt til å lage et datasett som inneholder både offentlig og ikke-offentlig informasjon.
Hacker laster opp data fra 2,6 millioner Duolingo-brukere på nytt til en svært billig pris.
Bedrifter har en tendens til å forkaste innsamlede data fordi det meste allerede er offentlig tilgjengelig. Men når offentlige data blandes med private data som telefonnumre og e-postadresser, gjør det informasjonen som eksponeres mer risikabel og potensielt bryter med personvernlover.
I 2021 ble Facebook rammet av et massivt datainnbrudd etter at API-en deres «Add Friend» ble misbrukt til å koble telefonnumre til Facebook-kontoene til 533 millioner brukere. Irlands databeskyttelseskommisjon (DPC) ga Facebook en bot på 265 millioner euro (275,5 millioner dollar) for å ha forårsaket datainnbruddet. En nylig feil i Twitters API ble brukt til å skrape offentlige data og e-postadresser til millioner av brukere, noe som førte til en DPC-etterforskning. Duolingo har ennå ikke forklart hvorfor de lot API-en sin være åpen for alle etter rapporter om misbruk.
[annonse_2]
Kildekobling
![[Foto] Dan Mountain Ginseng, en verdifull gave fra naturen til Kinh Bac-landet](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F30%2F1764493588163_ndo_br_anh-longform-jpg.webp&w=3840&q=75)
Kommentar (0)