Duolingo는 월간 사용자 7,400만 명 이상을 보유한 세계 최대의 언어 학습 웹사이트이자 앱입니다. Bleeping Computer에 따르면 Duolingo 사용자의 개인 데이터가 유출되면 해커가 타깃형 피싱 공격을 수행할 수 있다고 합니다.

2023년 1월, 해커 포럼의 한 계정이 듀오링고 사용자 260만 명으로부터 수집한 데이터를 1,500달러에 판매한 사건이 발생했으며, 이후 해당 포럼은 폐쇄되었습니다.

이 데이터에는 로그인 자격 증명, 실명은 물론, 이메일 주소와 Duolingo 서비스와 관련된 내부 정보를 포함한 비공개 정보가 포함됩니다. Duolingo 사용자 프로필에는 실명과 로그인 이름이 표시되지만 이메일 주소는 익명으로 처리됩니다.

Duolingo 측은 TheRecord 에 수집 및 판매된 데이터는 공공 기록에서 가져온 것이며, 서비스 측에서 예방 조치를 취했어야 했는지 조사 중이라고 확인했습니다. 그러나 Duolingo는 이메일 주소도 데이터에 나열되어 있다는 사실을 언급하지 않았습니다.

260만 명의 사용자 데이터가 어제 해커 포럼의 새로운 버전에서 단돈 2.13달러에 공개되었습니다. 이 데이터는 2023년 3월 현재 공개적으로 공유된 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 수집되었습니다.

Duolingo API를 사용하면 누구나 사용자의 공개 프로필 정보에 대한 요청을 제출할 수 있습니다. 하지만 API에 이메일 주소를 제공하고 해당 주소가 Duolingo 계정과 연결되어 있는지 확인하는 것도 가능합니다.

BleepingComputer는 1월에 Duolingo에 API 남용 사례가 보고된 후에도 해당 API가 공개적으로 계속 사용 가능하다고 밝혔습니다.

해커는 이전 데이터 침해로 인해 노출되었을 가능성이 있는 수백만 개의 이메일 주소를 API에 입력해 Duolingo 계정에 속하는지 확인했을 가능성이 있습니다. 이러한 이메일 주소는 공개 및 비공개 정보를 포함하는 데이터 세트를 만드는 데 사용됩니다.

기업들은 수집한 데이터의 대부분이 이미 공개되어 있기 때문에 이를 무시하는 경향이 있습니다. 그러나 공개 데이터가 전화번호, 이메일 주소 등의 비공개 데이터와 섞이면 노출된 정보는 더 위험해지고 잠재적으로 데이터 보호법을 위반하게 됩니다.

2021년, Facebook의 "친구 추가" API가 악용되어 5억 3,300만 명의 Facebook 계정에 전화번호가 연결되는 사건이 발생하면서 Facebook은 대규모 데이터 유출 사고를 겪었습니다. 아일랜드 데이터 보호 위원회(DPC)는 이 데이터 유출을 초래한 혐의로 Facebook에 2억 6,500만 유로(2억 7,550만 달러)의 벌금을 부과했습니다. 최근 Twitter API의 버그로 인해 수백만 명의 사용자의 공개 데이터와 이메일 주소가 수집되어 DPC에서 조사에 착수했습니다. Duolingo는 남용 신고가 접수된 후에도 왜 이 API를 모든 사람에게 공개했는지 아직 설명하지 않았습니다.