O Duolingo é o maior site e aplicativo de aprendizado de idiomas do mundo, com mais de 74 milhões de usuários mensais. De acordo com o Bleeping Computer, o vazamento de dados pessoais de usuários do Duolingo permitiria que hackers realizassem ataques de phishing direcionados.
Em janeiro de 2023, uma conta em um fórum de hackers vendeu dados coletados de 2,6 milhões de usuários do Duolingo por US$ 1.500, e o fórum foi desativado desde então.
Esses dados incluem credenciais de login, nomes reais e informações não públicas, como endereços de e-mail e informações internas relacionadas ao serviço do Duolingo. Embora os perfis de usuário do Duolingo exibam publicamente os nomes reais e os nomes de login, os endereços de e-mail são anonimizados.
Anúncio vende dados de 2,6 milhões de usuários do Duolingo por US$ 1.500.
O Duolingo confirmou ao TheRecord que os dados coletados e vendidos foram obtidos de perfis públicos e que o serviço está investigando se deve tomar medidas preventivas. No entanto, o Duolingo não mencionou o fato de que endereços de e-mail também estavam presentes nos dados.
Dados de 2,6 milhões de usuários foram disponibilizados ontem em uma nova versão do fórum de hackers por apenas US$ 2,13. Os dados foram coletados usando uma interface de programação de aplicativos (API) que está disponível publicamente desde março de 2023.
Esta API do Duolingo permite que qualquer pessoa envie uma solicitação para obter informações do perfil público de um usuário. No entanto, também é possível fornecer um endereço de e-mail à API e confirmar se esse endereço está associado a uma conta do Duolingo.
O BleepingComputer afirmou que a API permaneceu disponível publicamente mesmo após o abuso ter sido relatado ao Duolingo em janeiro.
É provável que o hacker tenha inserido milhões de endereços de e-mail — possivelmente expostos em vazamentos de dados anteriores — na API para verificar se pertenciam a contas do Duolingo. Esses endereços de e-mail foram então usados para criar um conjunto de dados contendo informações públicas e privadas.
Hacker reenvia dados de 2,6 milhões de usuários do Duolingo por um preço muito baixo.
As empresas tendem a descartar os dados coletados porque a maior parte deles já é pública. No entanto, quando dados públicos são misturados com dados privados, como números de telefone e endereços de e-mail, as informações expostas tornam-se mais arriscadas e podem violar as leis de proteção de dados.
Em 2021, o Facebook sofreu uma enorme violação de dados após sua API "Adicionar Amigo" ter sido usada indevidamente para vincular números de telefone às contas do Facebook de 533 milhões de usuários. A Comissão de Proteção de Dados da Irlanda (DPC) multou o Facebook em € 265 milhões (US$ 275,5 milhões) por causar a violação de dados. Uma falha recente na API do Twitter foi usada para coletar dados públicos e endereços de e-mail de milhões de usuários, levando a uma investigação da DPC. O Duolingo ainda não explicou por que deixou sua API aberta a todos após relatos de abuso.
Link da fonte
![[Foto] O primeiro-ministro Pham Minh Chinh conversa por telefone com o CEO da corporação russa Rosatom.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F11%2F1765464552365_dsc-5295-jpg.webp&w=3840&q=75)
![[Foto] Cerimônia de encerramento da 10ª Sessão da 15ª Assembleia Nacional](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F11%2F1765448959967_image-1437-jpg.webp&w=3840&q=75)
![[OFICIAL] O GRUPO MISA ANUNCIA SEU POSICIONAMENTO DE MARCA PIONEIRO NA CONSTRUÇÃO DE IA AGENTE PARA EMPRESAS, FAMÍLIAS E GOVERNO](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/11/1765444754256_agentic-ai_postfb-scaled.png)
Comentário (0)