Данные 2,6 миллионов пользователей Duolingo попали в открытый доступ

Duolingo — крупнейший в мире сайт и приложение для изучения языков с более чем 74 миллионами пользователей в месяц. По данным Bleeping Computer, утечка личных данных пользователей Duolingo позволяет хакерам проводить целевые фишинговые атаки.

В январе 2023 года аккаунт на хакерском форуме продал данные, собранные у 2,6 млн пользователей Duolingo, за 1500 долларов, после чего форум был закрыт.

Эти данные включают в себя учётные данные, настоящие имена и конфиденциальную информацию, включая адреса электронной почты и внутреннюю информацию, связанную с сервисом Duolingo. В то время как профили пользователей Duolingo публично отображают настоящие имена и имена для входа, адреса электронной почты анонимны.

Duolingo подтвердила TheRecord , что собранные и проданные данные были взяты из общедоступных источников, и что сервис изучает необходимость принятия дополнительных мер предосторожности. Однако Duolingo не упомянула, что в данных также были указаны адреса электронной почты.

Вчера данные 2,6 миллиона пользователей были опубликованы на новой версии хакерского форума всего за 2,13 доллара. Данные были собраны с помощью интерфейса прикладного программирования (API), который находится в открытом доступе с марта 2023 года.

API Duolingo позволяет любому пользователю запросить информацию из публичного профиля. Однако API также можно предоставить адрес электронной почты и подтвердить, связан ли этот адрес с учётной записью Duolingo.

BleepingComputer заявил, что API остался общедоступным даже после того, как в январе Duolingo сообщили о его злоупотреблении.

Вероятно, хакер ввёл в API миллионы адресов электронной почты, возможно, раскрытых в ходе предыдущих утечек данных, чтобы проверить их принадлежность аккаунтам Duolingo. Эти адреса затем были использованы для создания набора данных, содержащего как общедоступную, так и закрытую информацию.

Компании склонны удалять собранные данные, поскольку большая их часть уже является общедоступной. Однако смешивание общедоступных данных с конфиденциальными, такими как номера телефонов и адреса электронной почты, делает раскрытие информации более рискованным и потенциально нарушает законы о защите данных.

В 2021 году Facebook столкнулся с масштабной утечкой данных после того, как API функции «Добавить друга» был использован для привязки телефонных номеров к аккаунтам Facebook 533 миллионов пользователей. Ирландская комиссия по защите данных (DPC) оштрафовала Facebook на 265 миллионов евро (275,5 миллионов долларов США) за утечку данных. Недавняя ошибка в API Twitter была использована для сбора публичных данных и адресов электронной почты миллионов пользователей, что привело к расследованию DPC. Duolingo пока не объяснила, почему она оставила свой API открытым для всех после сообщений о злоупотреблениях.