2,6 milyon Duolingo kullanıcısının verileri kamuoyuna sızdırıldı

Duolingo, aylık 74 milyondan fazla kullanıcısıyla dünyanın en büyük dil öğrenme web sitesi ve uygulamasıdır. Bleeping Computer'a göre, Duolingo kullanıcılarının sızdırılan kişisel verileri, bilgisayar korsanlarının hedefli kimlik avı saldırıları gerçekleştirmesine olanak tanıyabilir.

Ocak 2023'te bir hacker forumundaki bir hesap, 2,6 milyon Duolingo kullanıcısından toplanan verileri 1.500 dolara sattı ve forum o zamandan beri kapatıldı.

Bu veriler, oturum açma kimlik bilgilerini, gerçek adları ve e-posta adresleri ve Duolingo hizmetiyle ilgili dahili bilgiler de dahil olmak üzere gizli bilgileri içerir. Duolingo kullanıcı profilleri gerçek adları ve oturum açma adlarını herkese açık olarak görüntülerken, e-posta adresleri anonimleştirilir.

Duolingo, TheRecord'a toplanan ve satılan verilerin kamu kayıtlarından alındığını ve hizmetin daha fazla önlem alıp almayacağını araştırdığını doğruladı. Ancak Duolingo, verilerde e-posta adreslerinin de listelendiğinden bahsetmedi.

Hacker forumunun yeni sürümünde dün 2,13 dolara 2,6 milyon kullanıcıya ait veriler yayınlandı. Veriler, Mart 2023'ten beri herkese açık olan bir uygulama programlama arayüzü (API) kullanılarak toplandı.

Bu Duolingo API'si, herkesin bir kullanıcının genel profil bilgileri için talepte bulunmasına olanak tanır. Bununla birlikte, API'ye bir e-posta adresi sağlamak ve bu adresin bir Duolingo hesabıyla ilişkili olup olmadığını doğrulamak da mümkündür.

BleepingComputer, API'nin kötüye kullanımının Ocak ayında Duolingo'ya bildirilmesinden sonra bile kamuya açık kaldığını söyledi.

Bilgisayar korsanının, muhtemelen daha önceki veri ihlallerinde açığa çıkmış milyonlarca e-posta adresini, Duolingo hesaplarına ait olup olmadıklarını görmek için API'ye aktarmış olması muhtemel. Bu e-posta adresleri daha sonra hem herkese açık hem de herkese açık olmayan bilgileri içeren bir veri kümesi oluşturmak için kullanıldı.

Şirketler, toplanan verilerin çoğu zaten kamuya açık olduğu için genellikle bunları çöpe atarlar. Ancak, kamuya açık veriler telefon numaraları ve e-posta adresleri gibi özel verilerle karıştırıldığında, ifşa edilen bilgiler daha riskli hale gelir ve potansiyel olarak veri koruma yasalarını ihlal eder.

Facebook, 2021 yılında "Arkadaş Ekle" API'sinin 533 milyon kullanıcının Facebook hesaplarına telefon numaralarını bağlamak için kötüye kullanılmasının ardından büyük bir veri ihlali yaşadı. İrlanda Veri Koruma Komisyonu (DPC), veri ihlaline neden olduğu için Facebook'a 265 milyon avro (275,5 milyon dolar) para cezası verdi. Twitter'ın API'sinde yakın zamanda ortaya çıkan bir hata, milyonlarca kullanıcının herkese açık verilerini ve e-posta adreslerini toplamak için kullanıldı ve bu da DPC tarafından soruşturma başlatılmasına yol açtı. Duolingo, kötüye kullanım bildirimlerinin ardından API'sini neden herkese açık bıraktığını henüz açıklamadı.