Dados de 2,6 milhões de usuários do Duolingo vazaram publicamente

O Duolingo é o maior site e aplicativo de aprendizagem de idiomas do mundo , com mais de 74 milhões de usuários mensais. De acordo com o Bleeping Computer, os dados pessoais vazados de usuários do Duolingo permitiriam que hackers realizassem ataques de phishing direcionados.

Em janeiro de 2023, uma conta em um fórum de hackers vendeu dados coletados de 2,6 milhões de usuários do Duolingo por US$ 1.500, e o fórum foi encerrado desde então.

Esses dados incluem credenciais de login, nomes reais e informações não públicas, incluindo endereços de e-mail e informações internas relacionadas ao serviço do Duolingo. Embora os perfis de usuário do Duolingo exibam publicamente nomes reais e nomes de login, os endereços de e-mail são anonimizados.

O Duolingo confirmou ao TheRecord que os dados coletados e vendidos foram retirados de registros públicos e que o serviço está investigando se deve tomar precauções adicionais. No entanto, o Duolingo não mencionou que endereços de e-mail também estavam listados nos dados.

Dados de 2,6 milhões de usuários foram divulgados ontem em uma nova versão do fórum de hackers por apenas US$ 2,13. Os dados foram coletados por meio de uma interface de programação de aplicativos (API) compartilhada publicamente desde março de 2023.

Esta API do Duolingo permite que qualquer pessoa envie uma solicitação de informações de perfil público de um usuário. No entanto, também é possível fornecer um endereço de e-mail à API e confirmar se esse endereço está associado a uma conta do Duolingo.

O BleepingComputer disse que a API permaneceu disponível publicamente mesmo depois que seu abuso foi relatado ao Duolingo em janeiro.

É provável que o hacker tenha inserido milhões de endereços de e-mail — possivelmente expostos em violações de dados anteriores — na API para verificar se pertenciam a contas do Duolingo. Esses endereços de e-mail foram então usados ​​para criar um conjunto de dados contendo informações públicas e privadas.

As empresas tendem a descartar os dados coletados porque a maioria deles já é pública. No entanto, quando dados públicos são misturados com dados privados, como números de telefone e endereços de e-mail, as informações expostas tornam-se mais arriscadas e potencialmente violam as leis de proteção de dados.

Em 2021, o Facebook sofreu uma enorme violação de dados após sua API "Adicionar Amigo" ter sido usada indevidamente para vincular números de telefone às contas do Facebook de 533 milhões de usuários. A Comissão de Proteção de Dados da Irlanda (DPC) multou o Facebook em € 265 milhões (US$ 275,5 milhões) por causar a violação de dados. Um bug recente na API do Twitter foi usado para coletar dados públicos e endereços de e-mail de milhões de usuários, levando a uma investigação da DPC. O Duolingo ainda não explicou por que deixou sua API aberta a todos após denúncias de abuso.