Dane 2,6 mln użytkowników popularnej aplikacji do nauki języków Duolingo znalazły się na forum hakerskim. Eksperci ostrzegają przed ryzykiem ukierunkowanych ataków socjotechnicznych, w tym - phishingu.
Aplikacja Duolingo to jedna z najpopularniejszych na świecie platform do nauki języków obcych. Co miesiąc korzysta z niej nawet 74 mln aktywnych użytkowników na całym świecie.
Serwis Bleeping Computer donosi, że dane 2,6 mln użytkowników tej aplikacji znalazło się na forum hakerskim - skąd mogą być pobrane i wykorzystane m.in. do ukierunkowanych ataków socjotechnicznych, takich jak te realizowane choćby z wykorzystaniem metody phishingu .
Dane zostały wystawione tam w styczniu 2023 roku na sprzedaż. Zbiór informacji o 2,6 mln osób kosztował 1,5 tys. dolarów.
Jakie informacje ujawniono?
W zbiorze danych, które wyciekły z Duolingo, można było znaleźć publiczne loginy, imiona i nazwiska użytkowników, a także informacje, które nie powinny być ujawnione - np. adres e-mail i dane o tym, jak użytkownicy korzystali z usługi.
Duolingo potwierdziło, że dane zostały pobrane z publicznie dostępnych profili użytkowników aplikacji, jednak nie odniosło się do kwestii ujawnienia informacji, które nie powinny być dostępne publicznie dla nikogo.
Oprócz tego, że do ujawnienia ich doszło w styczniu, we wtorek, tj. 22 sierpnia, informacje o użytkownikach platformy zostały jeszcze raz zamieszczone w nowej wersji zbioru danych na forum Breached, za cenę... 2,13 dolarów.
Jak do tego doszło?
Wiemy: przez interfejs API, który od marca 2023 jest dostępny publicznie. To właśnie to narzędzie pozwala każdemu na pozyskanie pliku JSON zawierającego publicznie dostępne dane o użytkownikach Duolingo. Serwis Bleeping Computer podkreśla, że możliwe jest też wykorzystanie API do powiązania adresów e-mail z nazwami profilowymi.
API nadal jest publicznie dostępne dla każdego użytkownika internetu, mimo tego, że informacje o jego wykorzystaniu do złych celów pierwszy raz zostały przekazane platformie w styczniu, po pierwszym wycieku danych.
Najprawdopodobniej baza, którą sprzedawano wówczas na forum hakerskim, została skompilowana z danych Duolingo, a także z informacji, których bezpieczeństwo naruszono w licznych incydentach cyberbezpieczeństwa - i właśnie w ten sposób stworzono zbiór zawierający informacje jawne i niejawne na temat osób korzystających z tej platformy.
Ryzyko
Powiązanie danych dostępnych publicznie z informacjami, które nie są jawne, stwarza doskonałą okazję do nadużyć dla cyberprzestępców, mogących chcieć wykorzystać takie dane m.in. do ataków socjotechnicznych . Jednym z nich jest ukierunkowany phishing - o tym zagrożeniu, a także o tym, jak się przed nim bronić, można przeczytać na łamach naszego serwisu m.in. w tym tekście .
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].