Duolingoユーザー260万人のデータが漏洩

Duolingo は、月間ユーザー数が 7,400 万人を超える世界最大の言語学習ウェブサイトおよびアプリです。 Bleeping Computerによると、Duolingoユーザーの個人情報が漏洩すれば、ハッカーが標的を絞ったフィッシング攻撃を実行できるようになるという。

2023年1月、ハッカーフォーラムのアカウントがDuolingoユーザー260万人から収集したデータを1,500ドルで販売し、その後フォーラムは閉鎖された。

このデータには、ログイン認証情報、実名のほか、電子メール アドレスや Duolingo のサービスに関連する内部情報などの非公開情報が含まれます。 Duolingo のユーザー プロフィールには実名とログイン名が表示されますが、電子メール アドレスは匿名化されます。

DuolingoはTheRecordに対し、収集・販売されたデータは公的記録から取得されたものであることを認め、予防措置を講じるべきだったかどうかを調査中だ。しかし、Duolingo は、データに電子メール アドレスも含まれているという事実について言及していません。

昨日、260万人のユーザーのデータが、ハッカーフォーラムの新バージョンでわずか2.13ドルで公開されました。このデータは、2023 年 3 月時点で公開されているアプリケーション プログラミング インターフェイス (API) を使用して収集されます。

この Duolingo API を使用すると、誰でもユーザーの公開プロフィール情報のリクエストを送信できます。ただし、API に電子メール アドレスを提供し、そのアドレスが Duolingo アカウントに関連付けられているかどうかを確認することもできます。

BleepingComputerは、 1月にDuolingoに不正使用が報告された後も、APIは公開されたままだったと述べた。

ハッカーは、過去のデータ侵害で漏洩した可能性のある何百万もの電子メールアドレスを API に入力し、それらが Duolingo アカウントに属しているかどうかを確認した可能性があります。これらの電子メール アドレスは、公開情報と非公開情報を含むデータセットを作成するために使用されます。

企業は、収集したデータの大部分がすでに公開されているため、それを無視する傾向があります。ただし、公開データが電話番号や電子メールアドレスなどの個人データと混在すると、公開された情報のリスクが高まり、データ保護法に違反する可能性があります。

2021年、Facebookは「友達追加」APIが悪用され、5億3300万人のユーザーのFacebookアカウントに電話番号がリンクされたことで大規模なデータ侵害に見舞われた。アイルランドのデータ保護委員会（DPC）は、このデータ漏洩を引き起こしたとしてFacebookに2億6500万ユーロ（2億7550万ドル）の罰金を科した。 TwitterのAPIの最近のバグが、数百万のユーザーの公開データとメールアドレスを取得するために使用され、DPCによる調査につながった。 Duolingo は、不正使用の報告を受けた後もこの API をすべての人に公開したままにした理由をまだ説明していません。