Duolingo to największa na świecie strona internetowa i aplikacja do nauki języków obcych, z ponad 74 milionami użytkowników miesięcznie. Według Bleeping Computer, wyciek danych osobowych użytkowników Duolingo umożliwiłby hakerom przeprowadzanie ukierunkowanych ataków phishingowych.
W styczniu 2023 r. konto na forum hakerskim sprzedało dane zebrane od 2,6 mln użytkowników Duolingo za 1500 dolarów, a forum zostało od tego czasu zamknięte.
Dane te obejmują dane logowania, prawdziwe imiona i nazwiska oraz informacje niepubliczne, w tym adresy e-mail i informacje wewnętrzne związane z usługą Duolingo. Chociaż profile użytkowników Duolingo publicznie wyświetlają prawdziwe imiona i nazwiska oraz nazwy logowania, adresy e-mail są anonimizowane.
Reklama sprzedająca 2,6 miliona danych użytkowników Duolingo za 1500 dolarów
Duolingo potwierdziło w rozmowie z TheRecord , że zebrane i sprzedane dane pochodzą z rejestrów publicznych i że serwis bada możliwość podjęcia dalszych środków ostrożności. Duolingo nie wspomniało jednak, że w danych znajdują się również adresy e-mail.
Dane 2,6 miliona użytkowników zostały wczoraj udostępnione w nowej wersji forum hakerów za jedyne 2,13 dolara. Dane zostały zebrane za pomocą interfejsu programowania aplikacji (API), który jest publicznie udostępniany od marca 2023 roku.
To API Duolingo pozwala każdemu na przesłanie prośby o publiczne dane profilowe użytkownika. Możliwe jest również podanie adresu e-mail w API i sprawdzenie, czy jest on powiązany z kontem Duolingo.
BleepingComputer poinformował, że API pozostało publicznie dostępne nawet po tym, jak w styczniu Duolingo zostało zgłoszone o jego nadużyciu.
Haker prawdopodobnie wprowadził do API miliony adresów e-mail – prawdopodobnie ujawnionych w poprzednich wyciekach danych – aby sprawdzić, czy należą one do kont Duolingo. Te adresy e-mail zostały następnie wykorzystane do utworzenia zbioru danych zawierającego zarówno informacje publiczne, jak i niepubliczne.
Haker ponownie udostępnił dane 2,6 miliona użytkowników Duolingo za bardzo niską cenę
Firmy mają tendencję do usuwania zebranych danych, ponieważ większość z nich jest już publiczna. Jednak mieszanie danych publicznych z danymi prywatnymi, takimi jak numery telefonów i adresy e-mail, zwiększa ryzyko ich ujawnienia i potencjalnie narusza przepisy o ochronie danych.
W 2021 roku Facebook padł ofiarą ogromnego naruszenia bezpieczeństwa danych po tym, jak jego interfejs API „Dodaj znajomego” został wykorzystany do powiązania numerów telefonów z kontami 533 milionów użytkowników na Facebooku. Irlandzka Komisja Ochrony Danych Osobowych (DPC) nałożyła na Facebooka grzywnę w wysokości 265 milionów euro (275,5 miliona dolarów) za spowodowanie naruszenia bezpieczeństwa danych. Niedawny błąd w interfejsie API Twittera został wykorzystany do przechwycenia publicznych danych i adresów e-mail milionów użytkowników, co doprowadziło do wszczęcia dochodzenia przez DPC. Duolingo nie wyjaśniło jeszcze, dlaczego po zgłoszeniach nadużyć udostępniło swój interfejs API wszystkim użytkownikom.
Link źródłowy
![[Zdjęcie] Premier Pham Minh Chinh przewodniczy pierwszemu spotkaniu Centralnego Komitetu Sterującego ds. polityki mieszkaniowej i rynku nieruchomości](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
![[Zdjęcie] Sekretarz generalny To Lam wręcza Medal Pracy Pierwszej Klasy Wietnamskiej Narodowej Grupie Energetycznej i Przemysłowej](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/21/0ad2d50e1c274a55a3736500c5f262e5)
Komentarz (0)