I dati di 2,6 milioni di utenti DuoLingo sono stati divulgati su un forum di hacking, permettendo agli attori delle minacce di condurre attacchi di phishing mirati utilizzando le informazioni esposte.
Dettagli sulla violazione
Duolingo è uno dei più grandi siti di apprendimento delle lingue al mondo, con oltre 74 milioni di utenti mensili in tutto il mondo. Nel gennaio 2023, qualcuno vendeva i dati di 2,6 milioni di utenti DuoLingo sul forum di hacking ora chiuso, Breached, per $1.500. Questi dati comprendono una combinazione di nomi di accesso pubblici e nomi reali, e informazioni non pubbliche, tra cui indirizzi email e informazioni interne relative al servizio DuoLingo.
Sebbene il nome reale e il nome di accesso siano pubblicamente disponibili come parte del profilo di un utente Duolingo, gli indirizzi email sono più preoccupanti in quanto permettono di utilizzare questi dati in attacchi. Quando i dati erano in vendita, DuoLingo ha confermato a TheRecord che erano stati raccolti da informazioni del profilo pubblico e che stavano indagando su ulteriori precauzioni da adottare. Tuttavia, Duolingo non ha affrontato il fatto che gli indirizzi email erano anche elencati nei dati, il che non è informazione pubblica.
Come rilevato per la prima volta da VX-Underground, il set di dati di 2,6 milioni di utenti è stato rilasciato ieri su una nuova versione del forum di hacking Breached per 8 crediti del sito, del valore di soli $2,13. Questi dati sono stati raccolti utilizzando un’interfaccia di programmazione delle applicazioni (API) esposta che è stata condivisa apertamente almeno dal marzo 2023.
Rischi associati ai dati raccolti
Le aziende tendono a sottovalutare i dati raccolti come non problematici poiché la maggior parte dei dati è già pubblica. Tuttavia, quando i dati pubblici sono mescolati con dati privati, come numeri di telefono e indirizzi email, tende a rendere le informazioni esposte più rischiose e potenzialmente in violazione delle leggi sulla protezione dei dati. Ad esempio, nel 2021, Facebook ha subito una massiccia perdita di dati a seguito di un bug dell’API “Aggiungi amico” che è stato abusato per collegare numeri di telefono agli account Facebook di 533 milioni di utenti.
BleepingComputer ha contattato DuoLingo con domande sul motivo per cui l’API è ancora pubblicamente disponibile ma non ha ricevuto una risposta al momento della pubblicazione.