Duolingo — крупнейший в мире сайт и приложение для изучения языков с более чем 74 миллионами пользователей в месяц. По данным Bleeping Computer, утечка личных данных пользователей Duolingo позволяет хакерам проводить целевые фишинговые атаки.
В январе 2023 года аккаунт на хакерском форуме продал данные, собранные у 2,6 млн пользователей Duolingo, за 1500 долларов, после чего форум был закрыт.
Эти данные включают в себя учётные данные, настоящие имена и конфиденциальную информацию, включая адреса электронной почты и внутреннюю информацию, связанную с сервисом Duolingo. В то время как профили пользователей Duolingo публично отображают настоящие имена и имена для входа, адреса электронной почты анонимны.
Реклама продает данные 2,6 миллионов пользователей Duolingo за 1500 долларов
Duolingo подтвердила TheRecord , что собранные и проданные данные были взяты из общедоступных источников, и что сервис изучает необходимость принятия дополнительных мер предосторожности. Однако Duolingo не упомянула, что в данных также были указаны адреса электронной почты.
Вчера данные 2,6 миллиона пользователей были опубликованы на новой версии хакерского форума всего за 2,13 доллара. Данные были собраны с помощью интерфейса прикладного программирования (API), который находится в открытом доступе с марта 2023 года.
API Duolingo позволяет любому пользователю отправить запрос на получение информации из публичного профиля. Однако API также можно предоставить адрес электронной почты и проверить, связан ли этот адрес с учётной записью Duolingo.
BleepingComputer сообщил, что API остался общедоступным даже после того, как в январе Duolingo сообщили о его злоупотреблении.
Возможно, хакер передал миллионы адресов электронной почты (вероятно, раскрытых в ходе предыдущих утечек данных) в API, чтобы проверить их принадлежность аккаунтам Duolingo. Эти адреса затем использовались для создания набора данных, содержащего как публичную, так и закрытую информацию.
Хакер публикует данные 2,6 миллионов пользователей Duolingo по очень низкой цене
Компании склонны удалять собранные данные, поскольку большая их часть уже является общедоступной. Однако смешивание общедоступных данных с конфиденциальной информацией, такой как номера телефонов и адреса электронной почты, делает раскрытие информации более рискованным и потенциально нарушает законы о защите данных.
В 2021 году Facebook столкнулся с масштабной утечкой данных после того, как API функции «Добавить друга» был использован для привязки телефонных номеров к аккаунтам Facebook 533 миллионов пользователей. Ирландская комиссия по защите данных (DPC) оштрафовала Facebook на 265 миллионов евро (275,5 миллионов долларов США) за утечку. Недавняя ошибка в API Twitter была использована для сбора общедоступных данных и адресов электронной почты миллионов пользователей, что привело к расследованию DPC. Duolingo пока не объяснила, почему она оставила API открытым для всех после получения сообщений о злоупотреблениях.
Ссылка на источник
Комментарий (0)