Duolingo, aylık 74 milyondan fazla kullanıcısıyla dünyanın en büyük dil öğrenme web sitesi ve uygulamasıdır. Bleeping Computer'a göre, Duolingo kullanıcılarının kişisel verilerinin sızdırılması, bilgisayar korsanlarının hedefli kimlik avı saldırıları gerçekleştirmesine olanak sağlayabilir.
Ocak 2023'te, bir hacker forumundaki bir hesap, 2,6 milyon Duolingo kullanıcısından toplanan verileri 1.500 dolara sattı; forum o zamandan beri faaliyetlerini durdurdu.
Bu veriler, oturum açma bilgilerini, gerçek adları ve e-posta adresleri ile Duolingo hizmetiyle ilgili dahili bilgiler de dahil olmak üzere gizli bilgileri içerir. Duolingo kullanıcı profillerinde gerçek adlar ve oturum açma adları herkese açık olarak gösterilirken, e-posta adresleri gizli tutulur.
Reklamda 2,6 milyon Duolingo kullanıcı veri kaydının 1.500 dolara satılacağı belirtiliyordu.
Duolingo, TheRecord'a yaptığı açıklamada, toplanan ve satılan verilerin herkese açık profillerden alındığını ve önleyici tedbirler alınması gerekip gerekmediğini araştırdıklarını doğruladı. Ancak Duolingo, verilerde e-posta adreslerinin de yer aldığı gerçeğinden bahsetmedi.
Dün, hacker forumunun yeni sürümünde 2,6 milyon kullanıcının verileri sadece 2,13 dolara yayınlandı. Bu veriler, Mart 2023'ten beri herkese açık bir uygulama programlama arayüzü (API) kullanılarak toplandı.
Bu Duolingo API'si, kişilerin kullanıcıların herkese açık profil bilgilerine erişim izni vermesini sağlar. Bununla birlikte, API'ye bir e-posta adresi sağlamak ve bu adresin bir Duolingo hesabıyla bağlantılı olup olmadığını doğrulamak da mümkündür.
BleepingComputer, bu API'nin Ocak ayında Duolingo'ya kötüye kullanımının bildirilmesinden sonra bile kamuya açık olarak erişilebilir kaldığını belirtti.
Muhtemelen bilgisayar korsanı, daha önceki veri ihlallerinde sızdırılmış olabilecek milyonlarca e-posta adresini API'ye girerek bunların Duolingo hesaplarına ait olup olmadığını kontrol etti. Daha sonra bu e-posta adresleri, hem herkese açık hem de gizli bilgileri içeren bir veri kümesi oluşturmak için kullanıldı.
Korsanlar, 2,6 milyon Duolingo kullanıcısının verilerini çok düşük bir fiyata yeniden yükledi.
Şirketler, verilerin büyük çoğunluğu zaten kamuya açık olduğu için topladıkları verileri genellikle imha ederler. Ancak, kamuya açık veriler telefon numaraları ve e-posta adresleri gibi özel verilerle karıştığında, bilgi sızıntısı daha riskli hale gelir ve potansiyel olarak veri koruma yasalarını ihlal eder.
2021 yılında Facebook, "Arkadaş Ekle" API'sinin kötüye kullanılması sonucu 533 milyon kullanıcının telefon numaralarının Facebook hesaplarıyla ilişkilendirilmesiyle büyük bir veri sızıntısı yaşadı. İrlanda Veri Koruma Komisyonu (DPC), bu veri sızıntısına neden olduğu için Facebook'a 265 milyon Euro (275,5 milyon dolar) para cezası verdi. Daha yakın zamanda, Twitter'ın API'sindeki bir güvenlik açığı, milyonlarca kullanıcının kamuya açık verilerine ve e-posta adreslerine erişmek için kullanıldı ve bu da DPC soruşturmasına yol açtı. Duolingo, kötüye kullanım raporlarına rağmen bu API'yi neden kamuya açık bıraktığını henüz açıklamadı.
[reklam_2]
Kaynak bağlantısı
![[Fotoğraf] Vietnam Sendikalar Birliği 14. Kongresi'nin ilk oturumu](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/03/1780465947883_ndo_br_img-3852-jpg.webp)
![[Fotoğraf] Ulusal Meclis Parti Komitesi Sekreteri ve Ulusal Meclis Başkanı, Ulusal Meclis Parti Komitesi Daimi Komitesi ve Yürütme Komitesi toplantısına başkanlık ediyor.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/03/1780480353201_ndo_br_bnd-2585-jpg.webp)
![[Fotoğraf] Genel Sekreter ve Başkan To Lam, Merkez Teşkilat Komitesi ile bir toplantıya başkanlık ediyor.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/03/1780482764658_a1-bnd-4741-3342-jpg.webp)
![[Video] Lap An Lagünü'nde Gün Batımı – Güneşin balık ağlarının üzerinden batışı](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/31/1780192137701_beach-landscape-sea-water-nature-grass-745871-pxhere-com.jpeg)
Yorum (0)