Duolingo — крупнейший в мире сайт и приложение для изучения языков с более чем 74 миллионами пользователей в месяц. По данным Bleeping Computer, утечка персональных данных пользователей Duolingo позволит хакерам запускать целевые фишинговые атаки.
В январе 2023 года аккаунт на хакерском форуме продал данные, собранные у 2,6 млн пользователей Duolingo, за 1500 долларов, и с тех пор форум был закрыт.
Эти данные включают в себя учетные данные для входа, настоящие имена и непубличную информацию, включая адреса электронной почты и внутреннюю информацию, связанную с сервисом Duolingo. В то время как профили пользователей Duolingo публично отображают настоящие имена и имена для входа, адреса электронной почты анонимны.
Реклама продает данные 2,6 млн пользователей Duolingo за 1500 долларов
Duolingo подтвердил TheRecord , что собранные и проданные данные были взяты из публичных записей, и что служба изучает, следует ли принимать дополнительные меры предосторожности. Однако Duolingo не упомянул, что адреса электронной почты также были указаны в данных.
Данные 2,6 млн пользователей были опубликованы вчера на новой версии хакерского форума всего за $2,13. Данные были собраны с использованием интерфейса прикладного программирования (API), который был публично опубликован с марта 2023 года.
Этот API Duolingo позволяет любому человеку отправить запрос на получение информации публичного профиля пользователя. Однако также возможно предоставить API адрес электронной почты и подтвердить, связан ли этот адрес с учетной записью Duolingo.
BleepingComputer сообщил, что API оставался общедоступным даже после того, как в январе Duolingo сообщили о злоупотреблении им.
Возможно, хакер ввел миллионы адресов электронной почты — вероятно, раскрытых в ходе предыдущих утечек данных — в API, чтобы проверить, принадлежат ли они аккаунтам Duolingo. Затем эти адреса электронной почты использовались для создания набора данных, содержащего публичную и непубличную информацию.
Хакер повторно загрузил данные 2,6 миллионов пользователей Duolingo по очень низкой цене
Компании склонны отбрасывать собранные данные, поскольку большая их часть уже является публичной. Однако, когда публичные данные смешиваются с личными данными, такими как номера телефонов и адреса электронной почты, это делает раскрытую информацию более рискованной и потенциально нарушает законы о защите данных.
В 2021 году Facebook пострадал от масштабной утечки данных после того, как его API «Добавить друга» был неправомерно использован для привязки телефонных номеров к аккаунтам Facebook 533 миллионов пользователей. Комиссия по защите данных Ирландии (DPC) оштрафовала Facebook на 265 миллионов евро (275,5 миллиона долларов) за нарушение. Недавняя ошибка в API Twitter была использована для извлечения общедоступных данных и адресов электронной почты миллионов пользователей, что привело к расследованию DPC. Duolingo пока не объяснила, почему она оставила свой API открытым для всех после получения сообщений о злоупотреблениях.
Ссылка на источник
Комментарий (0)