Duolingo är världens största webbplats och app för språkinlärning med över 74 miljoner användare varje månad. Enligt Bleeping Computer skulle läckta personuppgifter från Duolingo-användare göra det möjligt för hackare att utföra riktade nätfiskeattacker.
I januari 2023 sålde ett konto på ett hackerforum data som samlats in från 2,6 miljoner Duolingo-användare för 1 500 dollar, och forumet har sedan dess stängts ner.
Denna data inkluderar inloggningsuppgifter, riktiga namn och icke-offentlig information, inklusive e-postadresser och intern information relaterad till Duolingos tjänst. Medan Duolingos användarprofiler offentligt visar riktiga namn och inloggningsnamn, är e-postadresser anonymiserade.
Annons som säljer 2,6 miljoner Duolingo-användardata för 1 500 dollar
Duolingo bekräftade för TheRecord att den insamlade och sålda informationen hämtades från offentliga register, och att tjänsten undersöker om ytterligare försiktighetsåtgärder ska vidtas. Duolingo nämnde dock inte att e-postadresser också listades i informationen.
Data från 2,6 miljoner användare släpptes igår på en ny version av hackerforumet för endast 2,13 dollar. Uppgifterna samlades in med hjälp av ett applikationsprogrammeringsgränssnitt (API) som har delats offentligt sedan mars 2023.
Detta Duolingo API låter vem som helst skicka in en begäran om en användares offentliga profilinformation. Det är dock också möjligt att ange en e-postadress till API:et och bekräfta om den adressen är kopplad till ett Duolingo-konto.
BleepingComputer sa att API:et förblev offentligt tillgängligt även efter att missbruket rapporterades till Duolingo i januari.
Det är troligt att hackaren matade in miljontals e-postadresser – möjligen exponerade i tidigare dataintrång – i API:et för att se om de tillhörde Duolingo-konton. Dessa e-postadresser användes sedan för att skapa en datauppsättning som innehåller både offentlig och icke-offentlig information.
Hackare laddar upp data från 2,6 miljoner Duolingo-användare till ett mycket billigt pris
Företag tenderar att kassera insamlad data eftersom det mesta redan är offentligt. Men när offentlig data blandas med privat data som telefonnummer och e-postadresser gör det den exponerade informationen mer riskabel och potentiellt bryter mot dataskyddslagar.
År 2021 drabbades Facebook av ett massivt dataintrång efter att deras API "Lägg till vän" missbrukades för att länka telefonnummer till Facebook-konton för 533 miljoner användare. Irlands dataskyddskommission (DPC) bötfällde Facebook med 265 miljoner euro (275,5 miljoner dollar) för att ha orsakat dataintrånget. En nyligen genomförd bugg i Twitters API användes för att skrapa offentlig data och e-postadresser för miljontals användare, vilket ledde till en DPC-utredning. Duolingo har ännu inte förklarat varför de lämnade sitt API öppet för alla efter rapporter om missbruk.
[annons_2]
Källänk
![[Foto] Ho Chi Minh-staden pryds av flaggor och blommor inför den första partikongressen, mandatperioden 2025-2030](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760102923219_ndo_br_thiet-ke-chua-co-ten-43-png.webp)
![[Foto] Öppning av Världskulturfestivalen i Hanoi](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760113426728_ndo_br_lehoi-khaimac-jpg.webp)
![[Foto] Generalsekreterare deltar i paraden för att fira 80-årsdagen av grundandet av det koreanska arbetarpartiet](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/11/1760150039564_vna-potal-tong-bi-thu-du-le-duyet-binh-ky-niem-80-nam-thanh-lap-dang-lao-dong-trieu-tien-8331994-jpg.webp)
Kommentar (0)