Wyciek danych z Duolingo. Zagrożenie jest realne

Każdego miesiąca z Duolingo korzystają ponad 74 mln użytkowników, chcących nauczyć się nowego języka lub po prostu poprawić swoje umiejętności w tym zakresie. Niestety może się to okazać kosztowne. Niewłaściwa ochrona danych doprowadziła do wycieku danych ponad 2,6 mln użytkowników. Teraz mogą oni paść ofiarą ukierunkowanych ataków phishingowych.

Ikona Duolingo

Źródło zdjęć: © Adobe Stock

Wojciech Kulik

23.08.2023 | aktual.: 23.08.2023 18:39

W styczniu 2023 r. na (obecnie już zamkniętym) forum hakerskim Breached ktoś oferował dane 2,6 mln użytkowników Duolingo, żądając za nie 1,5 tys. dol. W paczce miały znajdować się loginy, imiona, adresy e-mail oraz inne informacje o osobach korzystających z aplikacji.

Wielki wyciek danych z Duolingo

Właściciele Duolingo potwierdzili, że doszło do tego typu naruszenia bezpieczeństwa użytkowników, a sprawa na pewien czas ucichła. Jednak 21 sierpnia 2023 r. na (nowej wersji forum) Breached ponownie udostępniony został pakiet danych obejmujący 2,6 mln użytkowników aplikacji. Tym razem cena była zdecydowanie niższa (na poziomie kilku dolarów). Przy okazji pojawiły się też nowe szczegóły w tej sprawie.

Zobacz także

Ponad 500 tys. incydentów dziennie. Przestępcy wykorzystują wakacje

Dane zostały pobrane przy użyciu interfejsu API, który umożliwia powiązanie publicznie dostępnych informacji z podanym adresem e-mail. W efekcie cyberprzestępcy musieli tylko wprowadzić adresy z innych wycieków, by po chwili uzyskać odpowiadające im imiona i loginy z bazy Duolingo.

Dalsza część artykułu pod materiałem wideo

Pomimo że właściciele Duolingo byli świadomi wykorzystania tego interfejsu, baza użytkowników wciąż jest narażona na tego typu ataki. Na prośbę serwisu BleepingComputer o komentarz w tej sprawie, nie padła odpowiedź.

To poważny problem. Znany nie od wczoraj

Tego rodzaju zagrożenia znane są nie od wczoraj. Za przykład można podać sytuację z 2021 r., kiedy to do masowego wycieku doszło na Facebooku. Interfejs API "Dodaj znajomego" umożliwiał powiązanie numerów telefonów z konkretnymi kontami użytkowników. W efekcie właściciele serwisu musieli zapłacić karę w wysokości 265 mln euro. Czy podobna grzywna zostanie nałożona na Duolingo? Na razie nie wiadomo.

Zobacz także

Podstępna oferta. "The najnowszy model" za darmo

W przypadku takich wycieków cyberprzestępcy nie otrzymują dostępu do haseł, więc teoretycznie użytkownicy mogliby się czuć bezpiecznie. Nie jest tak jednak, ponieważ znajomość imienia, adresu e-mail lub numeru telefonu i informacji o aktywności w danej usłudze, pozwala na przeprowadzanie ukierunkowanych ataków phishingowych. W nietrudny sposób oszuści mogą podszyć się pod usługodawcę i w ten sposób wyłudzić pieniądze lub dalsze informacje.

Angielski za darmo z Duolingo

Język angielski

Wojciech Kulik, dziennikarz dobreprogramy.pl

Programy

Zobacz więcej