Данные 2,6 миллионов пользователей Duolingo попали в открытый доступ

Duolingo — крупнейший в мире сайт и приложение для изучения языков с более чем 74 миллионами пользователей в месяц. По данным Bleeping Computer, утечка личных данных пользователей Duolingo позволяет хакерам проводить целевые фишинговые атаки.

В январе 2023 года аккаунт на хакерском форуме продал данные, собранные у 2,6 млн пользователей Duolingo, за 1500 долларов, после чего форум был закрыт.

Эти данные включают в себя учётные данные, настоящие имена и конфиденциальную информацию, включая адреса электронной почты и внутреннюю информацию, связанную с сервисом Duolingo. В то время как профили пользователей Duolingo публично отображают настоящие имена и имена для входа, адреса электронной почты анонимны.

Duolingo подтвердил TheRecord , что собранные и проданные данные были взяты из общедоступных источников, и что сервис изучает необходимость принятия дополнительных мер предосторожности. Однако Duolingo не упомянул, что в данных также были указаны адреса электронной почты.

Вчера на новой версии хакерского форума были опубликованы данные 2,6 млн пользователей всего за 2,13 доллара. Данные были собраны с помощью интерфейса прикладного программирования (API), который находится в открытом доступе с марта 2023 года.

API Duolingo позволяет любому пользователю отправить запрос на получение информации из публичного профиля. Однако API также можно предоставить адрес электронной почты и проверить, связан ли этот адрес с учётной записью Duolingo.

BleepingComputer сообщил, что API остался общедоступным даже после того, как в январе Duolingo сообщили о его злоупотреблении.

Возможно, хакер передал миллионы адресов электронной почты (вероятно, раскрытых в ходе предыдущих утечек данных) в API, чтобы проверить их принадлежность аккаунтам Duolingo. Эти адреса затем использовались для создания набора данных, содержащего как публичную, так и закрытую информацию.

Компании склонны удалять собранные данные, поскольку большая их часть уже является общедоступной. Однако смешивание общедоступных данных с конфиденциальными, такими как номера телефонов и адреса электронной почты, делает раскрытие информации более рискованным и потенциально нарушает законы о защите данных.

В 2021 году Facebook столкнулся с масштабной утечкой данных после того, как API функции «Добавить друга» был использован для привязки телефонных номеров к аккаунтам Facebook 533 миллионов пользователей. Ирландская комиссия по защите данных (DPC) оштрафовала Facebook на 265 миллионов евро (275,5 миллионов долларов США) за утечку. Недавняя ошибка в API Twitter была использована для сбора общедоступных данных и адресов электронной почты миллионов пользователей, что привело к расследованию DPC. Duolingo пока не объяснила, почему она оставила API открытым для всех после получения сообщений о злоупотреблениях.