Διέρρευσαν δημόσια δεδομένα 2,6 εκατομμυρίων χρηστών του Duolingo

Το Duolingo είναι ο μεγαλύτερος ιστότοπος και εφαρμογή εκμάθησης γλωσσών στον κόσμο με πάνω από 74 εκατομμύρια μηνιαίους χρήστες. Σύμφωνα με το Bleeping Computer, η διαρροή προσωπικών δεδομένων χρηστών του Duolingo θα επέτρεπε στους χάκερ να πραγματοποιούν στοχευμένες επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing).

Τον Ιανουάριο του 2023, ένας λογαριασμός σε ένα φόρουμ χάκερ πούλησε δεδομένα που συλλέχθηκαν από 2,6 εκατομμύρια χρήστες του Duolingo για 1.500 δολάρια και το φόρουμ έκτοτε έχει κλείσει.

Αυτά τα δεδομένα περιλαμβάνουν διαπιστευτήρια σύνδεσης, πραγματικά ονόματα και μη δημόσιες πληροφορίες, συμπεριλαμβανομένων διευθύνσεων email και εσωτερικών πληροφοριών που σχετίζονται με την υπηρεσία του Duolingo. Ενώ τα προφίλ χρηστών του Duolingo εμφανίζουν δημόσια πραγματικά ονόματα και ονόματα σύνδεσης, οι διευθύνσεις email ανωνυμοποιούνται.

Η Duolingo επιβεβαίωσε στο TheRecord ότι τα δεδομένα που συλλέχθηκαν και πωλήθηκαν ελήφθησαν από δημόσια αρχεία και ότι η υπηρεσία διερευνά εάν πρέπει να λάβει περαιτέρω προφυλάξεις. Ωστόσο, η Duolingo δεν ανέφερε ότι στα δεδομένα αναφέρονταν επίσης διευθύνσεις ηλεκτρονικού ταχυδρομείου.

Δεδομένα από 2,6 εκατομμύρια χρήστες δημοσιεύθηκαν χθες σε μια νέα έκδοση του φόρουμ χάκερ για μόλις 2,13 δολάρια. Τα δεδομένα συλλέχθηκαν χρησιμοποιώντας μια διεπαφή προγραμματισμού εφαρμογών (API) που έχει κοινοποιηθεί δημόσια από τον Μάρτιο του 2023.

Αυτό το API του Duolingo επιτρέπει σε οποιονδήποτε να υποβάλει ένα αίτημα για πληροφορίες δημόσιου προφίλ ενός χρήστη. Ωστόσο, είναι επίσης δυνατό να δώσετε μια διεύθυνση email στο API και να επιβεβαιώσετε εάν αυτή η διεύθυνση σχετίζεται με έναν λογαριασμό Duolingo.

Το BleepingComputer δήλωσε ότι το API παρέμεινε δημόσια διαθέσιμο ακόμη και μετά την αναφορά κατάχρησής του στο Duolingo τον Ιανουάριο.

Είναι πιθανό ο χάκερ να τροφοδότησε εκατομμύρια διευθύνσεις email — πιθανώς εκτεθειμένες σε προηγούμενες παραβιάσεις δεδομένων — στο API για να δει αν ανήκαν σε λογαριασμούς Duolingo. Αυτές οι διευθύνσεις email χρησιμοποιήθηκαν στη συνέχεια για τη δημιουργία ενός συνόλου δεδομένων που περιείχε δημόσιες και μη δημόσιες πληροφορίες.

Οι εταιρείες τείνουν να απορρίπτουν τα δεδομένα που συλλέγουν, επειδή τα περισσότερα από αυτά είναι ήδη δημόσια. Ωστόσο, όταν τα δημόσια δεδομένα αναμειγνύονται με ιδιωτικά δεδομένα, όπως αριθμούς τηλεφώνου και διευθύνσεις ηλεκτρονικού ταχυδρομείου, οι πληροφορίες που εκτίθενται καθίστανται πιο επικίνδυνες και ενδεχομένως παραβιάζουν τους νόμους περί προστασίας δεδομένων.

Το 2021, το Facebook υπέστη μια μαζική παραβίαση δεδομένων μετά την κακή χρήση του API "Προσθήκη Φίλου" για τη σύνδεση τηλεφωνικών αριθμών με τους λογαριασμούς 533 εκατομμυρίων χρηστών στο Facebook. Η Επιτροπή Προστασίας Δεδομένων (DPC) της Ιρλανδίας επέβαλε πρόστιμο στο Facebook ύψους 265 εκατομμυρίων ευρώ (275,5 εκατομμύρια δολάρια) για την πρόκληση της παραβίασης δεδομένων. Ένα πρόσφατο σφάλμα στο API του Twitter χρησιμοποιήθηκε για την υποκλοπή δημόσιων δεδομένων και διευθύνσεων email εκατομμυρίων χρηστών, οδηγώντας σε έρευνα της DPC. Η Duolingo δεν έχει ακόμη εξηγήσει γιατί άφησε το API της ανοιχτό σε όλους μετά από αναφορές κατάχρησης.