Duolingo es el sitio web y la aplicación de aprendizaje de idiomas más grande del mundo, con más de 74 millones de usuarios mensuales. Según Bleeping Computer, los datos personales filtrados de los usuarios de Duolingo permitirían a los piratas informáticos realizar ataques de phishing dirigidos.
En enero de 2023, una cuenta en un foro de piratas informáticos vendió datos recopilados de 2,6 millones de usuarios de Duolingo por 1500 dólares, y desde entonces el foro ha sido cerrado.
Estos datos incluyen credenciales de inicio de sesión, nombres reales, así como información no pública, incluidas direcciones de correo electrónico e información interna relacionada con los servicios de Duolingo. Si bien los perfiles de usuario de Duolingo muestran nombres reales y nombres de inicio de sesión, las direcciones de correo electrónico son anonimizadas.
Un anuncio vende datos de 2,6 millones de usuarios de Duolingo por 1.500 dólares
Duolingo confirmó a TheRecord que los datos recopilados y vendidos fueron tomados de registros públicos y el servicio está investigando si debería haber tomado precauciones. Sin embargo, Duolingo no menciona el hecho de que las direcciones de correo electrónico también aparecen en los datos.
Ayer se publicaron datos de 2,6 millones de usuarios en una nueva versión del foro de hackers por sólo 2,13 dólares. Estos datos se recopilan mediante una interfaz de programación de aplicaciones (API) compartida públicamente a partir de marzo de 2023.
Esta API de Duolingo permite que cualquier persona envíe solicitudes de información del perfil público de los usuarios. Sin embargo, también es posible proporcionar una dirección de correo electrónico a la API y confirmar si esa dirección está asociada a una cuenta de Duolingo.
BleepingComputer dijo que la API permaneció disponible públicamente incluso después de que se informara su abuso a Duolingo en enero.
Es posible que el pirata informático haya introducido millones de direcciones de correo electrónico (probablemente expuestas en violaciones de datos anteriores) en la API para ver si pertenecían a cuentas de Duolingo. Estas direcciones de correo electrónico se utilizan luego para crear un conjunto de datos que contiene información pública y no pública.
Un hacker vuelve a subir los datos de 2,6 millones de usuarios de Duolingo por un precio muy bajo
Las empresas tienden a descartar los datos que recopilan, ya que la mayoría de ellos ya son públicos. Sin embargo, cuando los datos públicos se mezclan con datos privados, como números de teléfono y direcciones de correo electrónico, la información expuesta es más riesgosa y potencialmente infringe las leyes de protección de datos.
En 2021, Facebook sufrió una violación masiva de datos después de que su API "Agregar amigo" fuera utilizada de forma abusiva para vincular números de teléfono a las cuentas de Facebook de 533 millones de usuarios. La Comisión de Protección de Datos de Irlanda (DPC) ha multado a Facebook con 265 millones de euros (275,5 millones de dólares) por provocar esta filtración de datos. Un error reciente en la API de Twitter fue utilizado para obtener datos públicos y direcciones de correo electrónico de millones de usuarios, lo que dio lugar a una investigación por parte de la DPC. Duolingo aún no ha explicado por qué dejó esta API abierta para todos después de recibir informes de abuso.
Enlace de origen
Kommentar (0)