Zveřejněna data 2,6 milionu uživatelů Duolinga

Duolingo je největší světová webová stránka a aplikace pro výuku jazyků s více než 74 miliony uživatelů měsíčně. Podle serveru Bleeping Computer by uniklé osobní údaje uživatelů Duolinga umožnily hackerům spustit cílené phishingové útoky.

V lednu 2023 prodal účet na hackerském fóru data shromážděná od 2,6 milionu uživatelů Duolinga za 1 500 dolarů a fórum bylo od té doby uzavřeno.

Tato data zahrnují přihlašovací údaje, skutečná jména a neveřejné informace, včetně e-mailových adres a interních informací souvisejících se službou Duolingo. Zatímco uživatelské profily Duolingo veřejně zobrazují skutečná jména a přihlašovací jména, e-mailové adresy jsou anonymizovány.

Duolingo serveru TheRecord potvrdilo, že shromážděná a prodávaná data byla převzata z veřejných záznamů a že služba zjišťuje, zda má přijmout další opatření. Duolingo však nezmínilo, že by v datech byly uvedeny i e-mailové adresy.

Data od 2,6 milionu uživatelů byla včera zveřejněna na nové verzi hackerského fóra za pouhých 2,13 dolaru. Data byla shromážděna pomocí rozhraní pro programování aplikací (API), které je veřejně sdíleno od března 2023.

Toto rozhraní Duolingo API umožňuje komukoli odeslat požadavek na načtení informací o veřejném profilu uživatele. Je však také možné poskytnout rozhraní API e-mailovou adresu a ověřit, zda je tato adresa přidružena k účtu Duolingo.

Společnost BleepingComputer uvedla, že API zůstalo veřejně dostupné i poté, co bylo v lednu nahlášeno zneužití společnosti Duolingo.

Je možné, že hacker zadal do API miliony e-mailových adres – pravděpodobně odhalených při předchozích únicích dat – aby zjistil, zda patří k účtům Duolingo. Tyto e-mailové adresy byly následně použity k vytvoření datové sady obsahující veřejné i neveřejné informace.

Společnosti mají tendenci shromážděná data zahazovat, protože většina z nich je již veřejná. Pokud jsou však veřejná data smíchána se soukromými údaji, jako jsou telefonní čísla a e-mailové adresy, je vystavení informací rizikovější a potenciálně porušuje zákony na ochranu osobních údajů.

V roce 2021 došlo k masivnímu úniku dat na Facebooku poté, co bylo jeho API „Přidat přítele“ zneužito k propojení telefonních čísel s facebookovými účty 533 milionů uživatelů. Irská komise pro ochranu osobních údajů (DPC) udělila Facebooku pokutu ve výši 265 milionů eur (275,5 milionu dolarů) za způsobení úniku. Nedávná chyba v API Twitteru byla použita ke scrapingu veřejných dat a e-mailových adres milionů uživatelů, což vedlo k vyšetřování ze strany DPC. Duolingo dosud nevysvětlilo, proč ponechalo API otevřené všem po obdržení hlášení o zneužití.