Wyciek danych z Duolingo. Zagrożenie jest realne
Każdego miesiąca z Duolingo korzystają ponad 74 mln użytkowników, chcących nauczyć się nowego języka lub po prostu poprawić swoje umiejętności w tym zakresie. Niestety może się to okazać kosztowne. Niewłaściwa ochrona danych doprowadziła do wycieku danych ponad 2,6 mln użytkowników. Teraz mogą oni paść ofiarą ukierunkowanych ataków phishingowych.
W styczniu 2023 r. na (obecnie już zamkniętym) forum hakerskim Breached ktoś oferował dane 2,6 mln użytkowników Duolingo, żądając za nie 1,5 tys. dol. W paczce miały znajdować się loginy, imiona, adresy e-mail oraz inne informacje o osobach korzystających z aplikacji.
Wielki wyciek danych z Duolingo
Właściciele Duolingo potwierdzili, że doszło do tego typu naruszenia bezpieczeństwa użytkowników, a sprawa na pewien czas ucichła. Jednak 21 sierpnia 2023 r. na (nowej wersji forum) Breached ponownie udostępniony został pakiet danych obejmujący 2,6 mln użytkowników aplikacji. Tym razem cena była zdecydowanie niższa (na poziomie kilku dolarów). Przy okazji pojawiły się też nowe szczegóły w tej sprawie.
Dane zostały pobrane przy użyciu interfejsu API, który umożliwia powiązanie publicznie dostępnych informacji z podanym adresem e-mail. W efekcie cyberprzestępcy musieli tylko wprowadzić adresy z innych wycieków, by po chwili uzyskać odpowiadające im imiona i loginy z bazy Duolingo.
Dalsza część artykułu pod materiałem wideo
Pomimo że właściciele Duolingo byli świadomi wykorzystania tego interfejsu, baza użytkowników wciąż jest narażona na tego typu ataki. Na prośbę serwisu BleepingComputer o komentarz w tej sprawie, nie padła odpowiedź.
To poważny problem. Znany nie od wczoraj
Tego rodzaju zagrożenia znane są nie od wczoraj. Za przykład można podać sytuację z 2021 r., kiedy to do masowego wycieku doszło na Facebooku. Interfejs API "Dodaj znajomego" umożliwiał powiązanie numerów telefonów z konkretnymi kontami użytkowników. W efekcie właściciele serwisu musieli zapłacić karę w wysokości 265 mln euro. Czy podobna grzywna zostanie nałożona na Duolingo? Na razie nie wiadomo.
W przypadku takich wycieków cyberprzestępcy nie otrzymują dostępu do haseł, więc teoretycznie użytkownicy mogliby się czuć bezpiecznie. Nie jest tak jednak, ponieważ znajomość imienia, adresu e-mail lub numeru telefonu i informacji o aktywności w danej usłudze, pozwala na przeprowadzanie ukierunkowanych ataków phishingowych. W nietrudny sposób oszuści mogą podszyć się pod usługodawcę i w ten sposób wyłudzić pieniądze lub dalsze informacje.
