Cyberbezpieczeństwo
Masz tę aplikację do nauki języków? Wyciekły dane 2,6 mln użytkowników Duolingo
Dane 2,6 mln użytkowników popularnej aplikacji do nauki języków Duolingo znalazły się na forum hakerskim. Eksperci ostrzegają przed ryzykiem ukierunkowanych ataków socjotechnicznych, w tym - phishingu.
Aplikacja Duolingo to jedna z najpopularniejszych na świecie platform do nauki języków obcych. Co miesiąc korzysta z niej nawet 74 mln aktywnych użytkowników na całym świecie.
Serwis Bleeping Computer donosi, że dane 2,6 mln użytkowników tej aplikacji znalazło się na forum hakerskim - skąd mogą być pobrane i wykorzystane m.in. do ukierunkowanych ataków socjotechnicznych, takich jak te realizowane choćby z wykorzystaniem metody phishingu .
Dane zostały wystawione tam w styczniu 2023 roku na sprzedaż. Zbiór informacji o 2,6 mln osób kosztował 1,5 tys. dolarów.
Jakie informacje ujawniono?
W zbiorze danych, które wyciekły z Duolingo, można było znaleźć publiczne loginy, imiona i nazwiska użytkowników, a także informacje, które nie powinny być ujawnione - np. adres e-mail i dane o tym, jak użytkownicy korzystali z usługi.
Duolingo potwierdziło, że dane zostały pobrane z publicznie dostępnych profili użytkowników aplikacji, jednak nie odniosło się do kwestii ujawnienia informacji, które nie powinny być dostępne publicznie dla nikogo.
Oprócz tego, że do ujawnienia ich doszło w styczniu, we wtorek, tj. 22 sierpnia, informacje o użytkownikach platformy zostały jeszcze raz zamieszczone w nowej wersji zbioru danych na forum Breached, za cenę... 2,13 dolarów.
Jak do tego doszło?
Wiemy: przez interfejs API, który od marca 2023 jest dostępny publicznie. To właśnie to narzędzie pozwala każdemu na pozyskanie pliku JSON zawierającego publicznie dostępne dane o użytkownikach Duolingo. Serwis Bleeping Computer podkreśla, że możliwe jest też wykorzystanie API do powiązania adresów e-mail z nazwami profilowymi.
API nadal jest publicznie dostępne dla każdego użytkownika internetu, mimo tego, że informacje o jego wykorzystaniu do złych celów pierwszy raz zostały przekazane platformie w styczniu, po pierwszym wycieku danych.
Najprawdopodobniej baza, którą sprzedawano wówczas na forum hakerskim, została skompilowana z danych Duolingo, a także z informacji, których bezpieczeństwo naruszono w licznych incydentach cyberbezpieczeństwa - i właśnie w ten sposób stworzono zbiór zawierający informacje jawne i niejawne na temat osób korzystających z tej platformy.
Ryzyko
Powiązanie danych dostępnych publicznie z informacjami, które nie są jawne, stwarza doskonałą okazję do nadużyć dla cyberprzestępców, mogących chcieć wykorzystać takie dane m.in. do ataków socjotechnicznych . Jednym z nich jest ukierunkowany phishing - o tym zagrożeniu, a także o tym, jak się przed nim bronić, można przeczytać na łamach naszego serwisu m.in. w tym tekście .
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].