Duolingo — крупнейший в мире веб-сайт и приложение для изучения языков, насчитывающее более 74 миллионов пользователей в месяц. По данным Bleeping Computer, утечка личных данных пользователей Duolingo может позволить хакерам проводить целенаправленные фишинговые атаки.
В январе 2023 года на хакерском форуме один из пользователей продал данные, собранные у 2,6 миллионов пользователей Duolingo, за 1500 долларов; с тех пор форум прекратил свою деятельность.
Эти данные включают информацию для входа в систему, настоящие имена, а также конфиденциальную информацию, в том числе адреса электронной почты и внутреннюю информацию, связанную с сервисом Duolingo. Хотя в профилях пользователей Duolingo публично отображаются настоящие имена и логины, адреса электронной почты остаются конфиденциальными.
В рекламе предлагалось продать 2,6 миллиона записей данных пользователей Duolingo за 1500 долларов.
Компания Duolingo подтвердила изданию TheRecord , что собранные и проданные данные были получены из общедоступных профилей, и сервис изучает вопрос о необходимости принятия превентивных мер. Однако Duolingo не упомянула о том, что в данных также были указаны адреса электронной почты.
Вчера были опубликованы данные от 2,6 миллионов пользователей новой версии хакерского форума, доступной всего за 2,13 доллара. Эти данные были собраны с использованием общедоступного интерфейса прикладного программирования (API) с марта 2023 года.
Этот API Duolingo позволяет пользователям предоставлять доступ к общедоступной информации профиля. Однако также можно указать адрес электронной почты в API и проверить, связан ли этот адрес с учетной записью Duolingo.
Издание BleepingComputer сообщило, что этот API оставался общедоступным даже после того, как в январе в Duolingo поступило сообщение о его неправомерном использовании.
Вполне возможно, что хакер ввел в API миллионы адресов электронной почты — предположительно, утекших в результате предыдущих утечек данных — чтобы проверить, принадлежат ли они учетным записям Duolingo. Затем эти адреса электронной почты были использованы для создания набора данных, содержащего как общедоступную, так и закрытую информацию.
Хакеры за очень низкую цену повторно загрузили данные 2,6 миллиона пользователей Duolingo.
Компании, как правило, удаляют собранные данные, поскольку большая их часть уже находится в открытом доступе. Однако, когда общедоступные данные смешиваются с личными данными, такими как номера телефонов и адреса электронной почты, это делает утечку информации более рискованной и потенциально нарушает законы о защите данных.
В 2021 году Facebook столкнулся с масштабной утечкой данных после того, как его API «Добавить друга» был использован не по назначению для привязки телефонных номеров к учетным записям Facebook 533 миллионов пользователей. Ирландская комиссия по защите данных (DPC) оштрафовала Facebook на 265 миллионов евро (275,5 миллионов долларов) за эту утечку данных. Совсем недавно уязвимость в API Twitter была использована для доступа к общедоступным данным и адресам электронной почты миллионов пользователей, что привело к расследованию DPC. Duolingo до сих пор не объяснила, почему оставила этот API общедоступным, несмотря на сообщения о неправомерном использовании.
Ссылка на источник
![[Фото] Генеральный секретарь и президент То Лам председательствует на совещании по подготовке к обзору результатов работы трехступенчатой системы управления за первый год.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/02/1780391821195_a1-bnd-4595-9717-jpg.webp)
Комментарий (0)