듀오링고 사용자 260만 명 데이터 공개

듀오링고는 월간 사용자 7,400만 명 이상을 보유한 세계 최대의 언어 학습 웹사이트이자 앱입니다. Bleeping Computer에 따르면, Duolingo 사용자의 개인 데이터가 유출되면 해커가 타깃을 정한 피싱 공격을 감행할 수 있다고 합니다.

2023년 1월, 해커 포럼의 한 계정이 듀오링고 사용자 260만 명으로부터 수집한 데이터를 1,500달러에 판매한 사건이 있었고, 이후 해당 포럼은 폐쇄되었습니다.

이 데이터에는 로그인 인증 정보, 실명은 물론, 이메일 주소와 Duolingo 서비스와 관련된 내부 정보를 비롯한 비공개 정보가 포함됩니다. Duolingo 사용자 프로필에는 실명과 로그인 이름이 표시되지만 이메일 주소는 익명으로 처리됩니다.

Duolingo 측은 TheRecord 에 수집 및 판매된 데이터는 공공 기록에서 가져온 것이며, 서비스 측에서 예방 조치를 취했어야 하는지 조사하고 있다고 확인했습니다. 하지만 Duolingo는 이메일 주소도 데이터에 나열되어 있다는 사실을 언급하지 않았습니다.

어제 해커 포럼의 새로운 버전에서 260만 명의 사용자 데이터가 단돈 2.13달러에 공개되었습니다. 이 데이터는 2023년 3월 현재 공개적으로 공유된 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 수집되었습니다.

Duolingo API를 사용하면 누구나 사용자의 공개 프로필 정보에 대한 요청을 제출할 수 있습니다. 하지만 API에 이메일 주소를 제공하고 해당 주소가 Duolingo 계정과 연결되어 있는지 확인하는 것도 가능합니다.

BleepingComputer는 1월에 Duolingo에 API 남용 사례가 보고된 후에도 해당 API가 공개적으로 계속 사용 가능하다고 밝혔습니다.

해커는 이전 데이터 침해로 인해 노출된 것으로 추정되는 수백만 개의 이메일 주소를 API에 입력해 Duolingo 계정에 속하는지 확인했을 가능성이 있습니다. 이러한 이메일 주소는 공개 및 비공개 정보를 포함하는 데이터 세트를 만드는 데 사용됩니다.

대부분의 데이터가 이미 공개되어 있기 때문에, 기업들은 수집한 데이터를 무시하는 경향이 있습니다. 그러나 공개 데이터가 전화번호와 이메일 주소 등의 비공개 데이터와 섞이면 노출된 정보는 더욱 위험해지고, 잠재적으로 데이터 보호법을 위반할 가능성이 있습니다.

2021년, Facebook의 "친구 추가" API가 5억 3,300만 명의 Facebook 계정에 전화번호를 연결하는 데 악용되어 Facebook은 대규모 데이터 침해를 겪었습니다. 아일랜드 데이터 보호 위원회(DPC)는 이 데이터 유출을 유발한 혐의로 페이스북에 2억 6,500만 유로(2억 7,550만 달러)의 벌금을 부과했습니다. 최근 Twitter API의 버그로 인해 수백만 명의 사용자의 공개 데이터와 이메일 주소가 유출되어 DPC가 조사에 나섰습니다. Duolingo는 남용 신고가 접수된 후에도 왜 이 API를 모든 사람에게 공개했는지 아직 설명하지 않았습니다.