Duolingo – найбільший у світі веб-сайт і додаток для вивчення мов, який щомісяця відвідує понад 74 мільйони користувачів. За даними Bleeping Computer, витік персональних даних користувачів Duolingo може дозволити хакерам здійснювати цілеспрямовані фішингові атаки.
У січні 2023 року обліковий запис на хакерському форумі продав дані, зібрані від 2,6 мільйона користувачів Duolingo, за 1500 доларів; з того часу форум припинив свою діяльність.
Ці дані включають інформацію для входу, справжні імена, а також непублічну інформацію, зокрема адреси електронної пошти та внутрішню інформацію, пов’язану з сервісом Duolingo. Хоча профілі користувачів Duolingo публічно відображають справжні імена та імена для входу, адреси електронної пошти залишаються конфіденційними.
У рекламі пропонувалось продати 2,6 мільйона записів даних користувачів Duolingo за 1500 доларів.
Duolingo підтвердив TheRecord , що зібрані та продані дані були взяті з публічних профілів, і сервіс вивчає, чи слід йому вживати превентивних заходів. Однак Duolingo не згадав про те, що в даних також були вказані адреси електронної пошти.
Дані 2,6 мільйона користувачів були опубліковані вчора на новій версії хакерського форуму всього за 2,13 долара. Ці дані були зібрані за допомогою загальнодоступного інтерфейсу прикладного програмування (API) з березня 2023 року.
Цей API Duolingo дозволяє людям надавати доступ до інформації публічних профілів користувачів. Однак також можна надати API адресу електронної пошти та перевірити, чи пов’язана ця адреса з обліковим записом Duolingo.
BleepingComputer заявив, що цей API залишався загальнодоступним навіть після того, як Duolingo повідомили про його неправильне використання в січні.
Цілком можливо, що хакер вніс мільйони адрес електронної пошти (можливо, витік даних під час попередніх витоків даних) до API, щоб перевірити, чи належать вони обліковим записам Duolingo. Ці адреси електронної пошти потім були використані для створення набору даних, що містить як публічну, так і непублічну інформацію.
Хакери повторно завантажили дані 2,6 мільйона користувачів Duolingo за дуже низькою ціною.
Компанії схильні відкидати зібрані дані, оскільки більшість із них вже є загальнодоступними. Однак, коли загальнодоступні дані змішуються з приватними даними, такими як номери телефонів та адреси електронної пошти, це робить витік інформації більш ризикованим і потенційно порушує закони про захист даних.
У 2021 році Facebook зазнав масштабного витоку даних після того, як його API «Додати друга» було використано для прив’язки номерів телефонів до облікових записів Facebook 533 мільйонів користувачів. Ірландська комісія із захисту даних (DPC) оштрафувала Facebook на 265 мільйонів євро (275,5 мільйона доларів США) за спричинення цього витоку даних. Зовсім недавно недолік в API Twitter було використано для доступу до загальнодоступних даних та адрес електронної пошти мільйонів користувачів, що призвело до розслідування DPC. Duolingo досі не пояснив, чому залишив цей API загальнодоступним, незважаючи на повідомлення про зловживання.
Посилання на джерело
![[Відео] Захід сонця в лагуні Лап Ан – де сонце заходить над рибальськими сітками](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/31/1780192137701_beach-landscape-sea-water-nature-grass-745871-pxhere-com.jpeg)
Коментар (0)