Duolingo – найбільший у світі веб-сайт і додаток для вивчення мов, який щомісяця відвідує понад 74 мільйони користувачів. За даними Bleeping Computer, витік персональних даних користувачів Duolingo дозволить хакерам здійснювати цілеспрямовані фішингові атаки.
У січні 2023 року обліковий запис на хакерському форумі продав дані, зібрані від 2,6 мільйона користувачів Duolingo, за 1500 доларів, і з того часу форум було закрито.
Ці дані включають облікові дані для входу, справжні імена та непублічну інформацію, зокрема адреси електронної пошти та внутрішню інформацію, пов’язану з сервісом Duolingo. Хоча профілі користувачів Duolingo публічно відображають справжні імена та імена для входу, адреси електронної пошти анонімізовані.
Реклама, що продає дані 2,6 мільйона користувачів Duolingo за 1500 доларів
Duolingo підтвердив TheRecord , що зібрані та продані дані були взяті з публічних записів, і що сервіс вивчає питання про необхідність вжиття подальших запобіжних заходів. Однак Duolingo не згадав, що в даних також були вказані адреси електронної пошти.
Дані 2,6 мільйона користувачів були опубліковані вчора на новій версії хакерського форуму всього за 2,13 долара. Дані були зібрані за допомогою інтерфейсу прикладного програмування (API), який був публічно доступний з березня 2023 року.
Цей API Duolingo дозволяє будь-кому надіслати запит на отримання інформації публічного профілю користувача. Однак також можна надати API адресу електронної пошти та підтвердити, чи пов’язана ця адреса з обліковим записом Duolingo.
BleepingComputer заявив, що API залишався загальнодоступним навіть після того, як у січні Duolingo було повідомлено про зловживання.
Ймовірно, хакер передав мільйони адрес електронної пошти (можливо, викритих під час попередніх витоків даних) в API, щоб перевірити, чи належать вони обліковим записам Duolingo. Ці адреси електронної пошти потім були використані для створення набору даних, що містить як публічну, так і приватну інформацію.
Хакер повторно завантажив дані 2,6 мільйона користувачів Duolingo за дуже низькою ціною
Компанії схильні відкидати зібрані дані, оскільки більшість із них вже є загальнодоступними. Однак, коли загальнодоступні дані змішуються з приватними даними, такими як номери телефонів та адреси електронної пошти, це робить розкриття інформації більш ризикованим та потенційно порушує закони про захист даних.
У 2021 році Facebook зазнав масштабного витоку даних після того, як його API «Додати друга» було використано для прив’язки номерів телефонів до облікових записів Facebook 533 мільйонів користувачів. Комісія із захисту даних Ірландії (DPC) оштрафувала Facebook на 265 мільйонів євро (275,5 мільйона доларів США) за спричинення витоку даних. Нещодавня помилка в API Twitter була використана для вилучення публічних даних та адрес електронної пошти мільйонів користувачів, що призвело до розслідування DPC. Duolingo досі не пояснив, чому залишив свій API відкритим для всіх після повідомлень про зловживання.
Посилання на джерело
![[Фото] Генеральний секретар То Лам відвідав 1-й з'їзд Центрального комітету партії Вітчизняного фронту та Центральних масових організацій](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/23/2aa63d072cab4105a113d4fc0c68a839)
Коментар (0)