Duolingo — крупнейший в мире сайт и приложение для изучения языков, ежемесячное число пользователей которого превышает 74 миллиона. По данным Bleeping Computer, утечка персональных данных пользователей Duolingo позволит хакерам проводить целевые фишинговые атаки.

В январе 2023 года аккаунт на хакерском форуме продал данные, собранные у 2,6 млн пользователей Duolingo, за 1500 долларов, и с тех пор форум был закрыт.

Эти данные включают в себя учетные данные для входа, настоящие имена, а также внутреннюю информацию, включая адреса электронной почты и внутреннюю информацию, связанную с услугами Duolingo. В то время как профили пользователей Duolingo отображают настоящие имена и логины, адреса электронной почты анонимны.

Duolingo подтвердил TheRecord , что собранные и проданные данные были взяты из публичных записей, и сервис расследует, следовало ли ему принять меры предосторожности. Однако Duolingo не упоминает тот факт, что в данных также указаны адреса электронной почты.

Вчера на новой версии хакерского форума были опубликованы данные 2,6 млн пользователей всего за 2,13 доллара. Эти данные собираются с использованием общедоступного интерфейса прикладного программирования (API) по состоянию на март 2023 года.

API Duolingo позволяет любому человеку отправлять запросы на получение информации из публичного профиля пользователя. Однако можно также предоставить API адрес электронной почты и подтвердить, связан ли этот адрес с учетной записью Duolingo.

BleepingComputer сообщил, что API оставался общедоступным даже после того, как в январе Duolingo сообщили о злоупотреблении им.

Возможно, хакер ввел в API миллионы адресов электронной почты, вероятно, раскрытых в ходе предыдущих утечек данных, чтобы проверить, принадлежат ли они учетной записи Duolingo. Затем эти адреса электронной почты используются для создания набора данных, содержащего общедоступную и закрытую информацию.

Компании склонны игнорировать собираемые ими данные, поскольку большая их часть уже является общедоступной. Однако когда общедоступные данные смешиваются с личными данными, такими как номера телефонов и адреса электронной почты, это делает раскрытую информацию более рискованной и потенциально нарушает законы о защите данных.

В 2021 году Facebook столкнулся с масштабной утечкой данных после того, как API-интерфейс «Добавить друга» был использован для привязки телефонных номеров к аккаунтам Facebook 533 миллионов пользователей. Комиссия по защите данных Ирландии (DPC) оштрафовала Facebook на 265 миллионов евро (275,5 миллиона долларов США) за утечку данных. Недавняя ошибка в API Twitter использовалась для получения общедоступных данных и адресов электронной почты миллионов пользователей, что привело к расследованию со стороны DPC. Duolingo пока не объяснила, почему оставила этот API открытым для всех после получения сообщений о злоупотреблениях.