Duolingo ist die weltweit größte Website und App zum Sprachenlernen mit über 74 Millionen Nutzern monatlich. Laut Bleeping Computer könnten die durchgesickerten persönlichen Daten von Duolingo-Nutzern Hackern gezielte Phishing-Angriffe ermöglichen.
Im Januar 2023 verkaufte ein Konto in einem Hackerforum Daten von 2,6 Millionen Duolingo-Benutzern für 1.500 US-Dollar, und das Forum wurde seitdem geschlossen.
Zu diesen Daten gehören Anmeldedaten, echte Namen und nicht-öffentliche Informationen, darunter E-Mail-Adressen und interne Informationen zum Duolingo-Dienst. Während in Duolingo-Benutzerprofilen echte Namen und Anmeldenamen öffentlich angezeigt werden, sind E-Mail-Adressen anonymisiert.
Anzeige verkauft 2,6 Millionen Duolingo-Benutzerdaten für 1.500 US-Dollar
Duolingo bestätigte gegenüber TheRecord , dass die gesammelten und verkauften Daten aus öffentlichen Aufzeichnungen stammen und dass der Dienst prüft, ob weitere Vorsichtsmaßnahmen ergriffen werden müssen. Duolingo erwähnte jedoch nicht, dass in den Daten auch E-Mail-Adressen aufgeführt waren.
Daten von 2,6 Millionen Nutzern wurden gestern in einer neuen Version des Hackerforums für nur 2,13 Dollar veröffentlicht. Die Daten wurden mithilfe einer Anwendungsprogrammierschnittstelle (API) gesammelt, die seit März 2023 öffentlich zugänglich ist.
Mit dieser Duolingo-API kann jeder eine Anfrage zum Abrufen der öffentlichen Profilinformationen eines Benutzers stellen. Es ist jedoch auch möglich, der API eine E-Mail-Adresse mitzuteilen und zu bestätigen, ob diese Adresse einem Duolingo-Konto zugeordnet ist.
BleepingComputer sagte, die API sei auch dann noch öffentlich verfügbar geblieben, nachdem Duolingo im Januar über ihren Missbrauch informiert worden war.
Möglicherweise hat der Hacker Millionen von E-Mail-Adressen – wahrscheinlich aus früheren Datenlecks – in die API eingespeist, um zu prüfen, ob sie zu Duolingo-Konten gehörten. Diese E-Mail-Adressen wurden dann verwendet, um einen Datensatz mit öffentlichen und nicht-öffentlichen Informationen zu erstellen.
Hacker lädt Daten von 2,6 Millionen Duolingo-Benutzern zu einem sehr günstigen Preis erneut hoch
Unternehmen neigen dazu, gesammelte Daten zu verwerfen, da die meisten davon bereits öffentlich sind. Werden öffentliche Daten jedoch mit privaten Daten wie Telefonnummern und E-Mail-Adressen vermischt, erhöht dies das Risiko für die Offenlegung und kann gegen Datenschutzgesetze verstoßen.
Im Jahr 2021 erlitt Facebook einen massiven Datendiebstahl, nachdem die API „Freund hinzufügen“ missbraucht wurde, um Telefonnummern mit den Facebook-Konten von 533 Millionen Nutzern zu verknüpfen. Die irische Datenschutzkommission (DPC) verhängte gegen Facebook eine Geldstrafe von 265 Millionen Euro (275,5 Millionen US-Dollar) wegen des Verstoßes. Ein kürzlich aufgetretener Fehler in der API von Twitter wurde ausgenutzt, um öffentliche Daten und E-Mail-Adressen von Millionen von Nutzern abzugreifen, was zu einer Untersuchung durch die DPC führte. Duolingo hat noch keine Erklärung dafür abgegeben, warum die API nach Eingang von Missbrauchsmeldungen weiterhin für alle zugänglich blieb.
[Anzeige_2]
Quellenlink
Kommentar (0)