Wyciek danych z Duolingo. Zagrożenie jest realne

Wyciek danych z Duolingo. Zagrożenie jest realne23.08.2023 11:36
Ikona Duolingo
Źródło zdjęć: © Adobe Stock

Każdego miesiąca z Duolingo korzystają ponad 74 mln użytkowników, chcących nauczyć się nowego języka lub po prostu poprawić swoje umiejętności w tym zakresie. Niestety może się to okazać kosztowne. Niewłaściwa ochrona danych doprowadziła do wycieku danych ponad 2,6 mln użytkowników. Teraz mogą oni paść ofiarą ukierunkowanych ataków phishingowych.

W styczniu 2023 r. na (obecnie już zamkniętym) forum hakerskim Breached ktoś oferował dane 2,6 mln użytkowników Duolingo, żądając za nie 1,5 tys. dol. W paczce miały znajdować się loginy, imiona, adresy e-mail oraz inne informacje o osobach korzystających z aplikacji.

Wielki wyciek danych z Duolingo

Właściciele Duolingo potwierdzili, że doszło do tego typu naruszenia bezpieczeństwa użytkowników, a sprawa na pewien czas ucichła. Jednak 21 sierpnia 2023 r. na (nowej wersji forum) Breached ponownie udostępniony został pakiet danych obejmujący 2,6 mln użytkowników aplikacji. Tym razem cena była zdecydowanie niższa (na poziomie kilku dolarów). Przy okazji pojawiły się też nowe szczegóły w tej sprawie.

Ponad 500 tys. incydentów dziennie. Przestępcy wykorzystują wakacje

Dane zostały pobrane przy użyciu interfejsu API, który umożliwia powiązanie publicznie dostępnych informacji z podanym adresem e-mail. W efekcie cyberprzestępcy musieli tylko wprowadzić adresy z innych wycieków, by po chwili uzyskać odpowiadające im imiona i loginy z bazy Duolingo.

Dalsza część artykułu pod materiałem wideo

Kamera solarna z akumulatorem w super cenie – recenzja Foscam B4

Pomimo że właściciele Duolingo byli świadomi wykorzystania tego interfejsu, baza użytkowników wciąż jest narażona na tego typu ataki. Na prośbę serwisu BleepingComputer o komentarz w tej sprawie, nie padła odpowiedź.

To poważny problem. Znany nie od wczoraj

Tego rodzaju zagrożenia znane są nie od wczoraj. Za przykład można podać sytuację z 2021 r., kiedy to do masowego wycieku doszło na Facebooku. Interfejs API "Dodaj znajomego" umożliwiał powiązanie numerów telefonów z konkretnymi kontami użytkowników. W efekcie właściciele serwisu musieli zapłacić karę w wysokości 265 mln euro. Czy podobna grzywna zostanie nałożona na Duolingo? Na razie nie wiadomo.

Podstępna oferta. "The najnowszy model" za darmo

W przypadku takich wycieków cyberprzestępcy nie otrzymują dostępu do haseł, więc teoretycznie użytkownicy mogliby się czuć bezpiecznie. Nie jest tak jednak, ponieważ znajomość imienia, adresu e-mail lub numeru telefonu i informacji o aktywności w danej usłudze, pozwala na przeprowadzanie ukierunkowanych ataków phishingowych. W nietrudny sposób oszuści mogą podszyć się pod usługodawcę i w ten sposób wyłudzić pieniądze lub dalsze informacje.

Angielski za darmo z Duolingo
Język angielski

Wojciech Kulik, dziennikarz dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na