Duolingo ist mit über 74 Millionen Nutzern monatlich die weltweit größte Website und App zum Sprachenlernen. Laut Bleeping Computer würden die durchgesickerten persönlichen Daten von Duolingo-Benutzern es Hackern ermöglichen, gezielte Phishing-Angriffe durchzuführen.

Im Januar 2023 verkaufte ein Konto in einem Hackerforum Daten von 2,6 Millionen Duolingo-Benutzern für 1.500 US-Dollar, und das Forum wurde seitdem geschlossen.

Zu diesen Daten gehören Anmeldedaten, echte Namen sowie nicht öffentliche Informationen, darunter E-Mail-Adressen und interne Informationen im Zusammenhang mit den Diensten von Duolingo. Während Duolingo-Benutzerprofile echte Namen und Anmeldenamen anzeigen, werden E-Mail-Adressen anonymisiert.

Duolingo bestätigte gegenüber TheRecord , dass die gesammelten und verkauften Daten aus öffentlichen Aufzeichnungen stammen, und der Dienst untersucht, ob er Vorkehrungen hätte treffen müssen. Allerdings verschweigt Duolingo, dass in den Daten auch E-Mail-Adressen aufgeführt sind.

Daten von 2,6 Millionen Benutzern wurden gestern für nur 2,13 US-Dollar in einer neuen Version des Hackerforums veröffentlicht. Diese Daten werden ab März 2023 mithilfe einer öffentlich zugänglichen Anwendungsprogrammierschnittstelle (API) erfasst.

Über diese Duolingo-API kann jeder Anfragen zu den öffentlichen Profilinformationen der Benutzer stellen. Es ist jedoch auch möglich, der API eine E-Mail-Adresse bereitzustellen und zu bestätigen, ob diese Adresse mit einem Duolingo-Konto verknüpft ist.

BleepingComputer sagte, die API sei auch dann noch öffentlich verfügbar geblieben, nachdem Duolingo im Januar über ihren Missbrauch informiert worden war.

Es ist möglich, dass der Hacker Millionen von E-Mail-Adressen – die wahrscheinlich bei früheren Datendiebstählen offengelegt wurden – in die API eingespeist hat, um zu sehen, ob sie zu Duolingo-Konten gehörten. Diese E-Mail-Adressen werden dann verwendet, um einen Datensatz mit öffentlichen und nicht öffentlichen Informationen zu erstellen.

Unternehmen neigen dazu, die von ihnen gesammelten Daten zu ignorieren, da die meisten davon bereits öffentlich sind. Wenn öffentliche Daten jedoch mit privaten Daten wie Telefonnummern und E-Mail-Adressen vermischt werden, erhöht dies das Risiko der preisgegebenen Informationen und kann zu einem Verstoß gegen Datenschutzgesetze führen.

Im Jahr 2021 erlitt Facebook einen massiven Datenverstoß, nachdem seine API „Freund hinzufügen“ missbraucht wurde, um Telefonnummern mit den Facebook-Konten von 533 Millionen Nutzern zu verknüpfen. Die irische Datenschutzkommission (DPC) hat Facebook wegen des Datenlecks mit einer Geldstrafe von 265 Millionen Euro (275,5 Millionen US-Dollar) belegt. Ein kürzlich aufgetretener Fehler in der API von Twitter wurde dazu ausgenutzt, an öffentliche Daten und E-Mail-Adressen von Millionen von Benutzern zu gelangen, was zu einer Untersuchung durch das DPC führte. Duolingo hat noch keine Erklärung dafür abgegeben, warum diese API nach dem Eingang von Missbrauchsmeldungen für alle offen gelassen wurde.