Duolingo to największa na świecie strona internetowa i aplikacja do nauki języków obcych, z ponad 74 milionami użytkowników miesięcznie. Według Bleeping Computer, wyciek danych osobowych użytkowników Duolingo może umożliwić hakerom przeprowadzenie ukierunkowanych ataków phishingowych.
W styczniu 2023 r. konto na forum hakerskim sprzedało dane zebrane od 2,6 mln użytkowników Duolingo za 1500 dolarów; od tego czasu forum zakończyło działalność.
Dane te obejmują dane logowania, prawdziwe imiona i nazwiska, a także informacje niepubliczne, w tym adresy e-mail i informacje wewnętrzne związane z usługą Duolingo. Chociaż profile użytkowników Duolingo publicznie wyświetlają prawdziwe imiona i nazwiska oraz nazwy logowania, adresy e-mail pozostają prywatne.
W reklamie oferowano sprzedaż 2,6 miliona rekordów danych użytkowników Duolingo za 1500 dolarów.
Duolingo potwierdziło w rozmowie z TheRecord , że zebrane i sprzedane dane pochodziły z profili publicznych i serwis bada, czy powinien podjąć środki zapobiegawcze. Duolingo nie wspomniał jednak o tym, że w danych znajdowały się również adresy e-mail.
Dane 2,6 miliona użytkowników zostały wczoraj udostępnione w nowej wersji forum hakerów za jedyne 2,13 dolara. Dane te były gromadzone za pomocą publicznie udostępnianego interfejsu API od marca 2023 roku.
To API Duolingo umożliwia użytkownikom przesyłanie danych dostępu do publicznych profili użytkowników. Możliwe jest również podanie adresu e-mail w API i sprawdzenie, czy jest on powiązany z kontem Duolingo.
BleepingComputer oświadczył, że interfejs API pozostał publicznie dostępny nawet po tym, jak w styczniu Duolingo zostało zgłoszone o jego niewłaściwym wykorzystaniu.
Można przypuszczać, że haker wprowadził do API miliony adresów e-mail – prawdopodobnie ujawnionych w poprzednich wyciekach danych – aby sprawdzić, czy należą one do kont Duolingo. Te adresy e-mail zostały następnie wykorzystane do utworzenia zbioru danych zawierającego zarówno informacje publiczne, jak i niepubliczne.
Hakerzy udostępnili dane 2,6 miliona użytkowników Duolingo za bardzo niską cenę.
Firmy mają tendencję do usuwania zebranych danych, ponieważ większość z nich jest już publicznie dostępna. Jednak gdy dane publiczne są mieszane z danymi prywatnymi, takimi jak numery telefonów i adresy e-mail, wyciek informacji staje się bardziej ryzykowny i potencjalnie narusza przepisy o ochronie danych.
W 2021 roku Facebook doświadczył ogromnego wycieku danych po tym, jak jego interfejs API „Dodaj znajomego” został wykorzystany do powiązania numerów telefonów z kontami 533 milionów użytkowników na Facebooku. Irlandzka Komisja Ochrony Danych Osobowych (DPC) nałożyła na Facebooka grzywnę w wysokości 265 milionów euro (275,5 miliona dolarów) za spowodowanie tego wycieku danych. Niedawno luka w interfejsie API Twittera została wykorzystana do uzyskania dostępu do publicznie dostępnych danych i adresów e-mail milionów użytkowników, co doprowadziło do wszczęcia dochodzenia przez DPC. Duolingo nie wyjaśniło jeszcze, dlaczego pozostawiło ten interfejs API publicznie dostępnym, pomimo doniesień o nadużyciach.
Link źródłowy
![[Zdjęcie] Przyjęcie powitalne dla Sekretarza Generalnego i Prezydenta To Lama oraz jego żony podczas ich wizyty państwowej na Filipinach](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/01/1780295488620_vna-potal-chieu-dai-chao-mung-tong-bi-thu-chu-tich-nuoc-to-lam-va-phu-nhan-tham-cap-nha-nuoc-toi-philippines-8798060-7855-jpg.webp)
Komentarz (0)