В результате тревожного инцидента, связанного с кибербезопасностью, данные 2,6 миллиона пользователей Duolingo попали на форум, используемый хакерами, что позволило злоумышленникам проводить целевые фишинговые атаки с использованием раскрытой информации.
- Duolingo — один из крупнейших сайтов по изучению языков в мире, который ежемесячно посещают более 74 миллионов пользователей по всему миру.
- В январе 2023 года утекшие данные 2,6 миллиона пользователей Duolingo продавались на ныне несуществующем форуме. Нарушен по данным BleepingComputer, за 1500 долларов.
- Эти данные включают в себя сочетание настоящих имен и общедоступных имен для входа, а также закрытую информацию, такую как адреса электронной почты и внутреннюю информацию, относящуюся к сервису Duolingo.
Читать далее:
Хотя настоящее имя и имя для входа общедоступны как часть профиля пользователя Duolingo, адреса электронной почты вызывают большее беспокойство, поскольку они позволяют использовать эти общедоступные данные в атаках.
Когда данные поступили в продажу, Duolingo подтвердила TheRecord, что они были собраны на основе общедоступной профилирующей информации и что они изучают, следует ли принимать дополнительные меры предосторожности. Однако Duolingo не уточнил тот факт, что в данных также были указаны адреса электронной почты, которые не являются общедоступной информацией.
Как впервые отметил VX-Underground, утекший набор данных 2,6 миллиона пользователей был доступен в этот понедельник на новой версии форума, используемой хакерами. Нарушенчто эквивалентно 8 кредитам сайта на общую сумму всего 2,13 доллара США.
«Сегодня я загрузил утечку Duolingo, чтобы вы могли ее скачать, спасибо за чтение и наслаждайтесь!» — говорится в одном сообщении на форуме.
Как произошла утечка данных Duolingo?
Эти данные были получены через открытый интерфейс прикладного программирования (API), который был открыт как минимум с марта 2023 года, а исследователи писали в Твиттере и публично документировали, как использовать API.
API позволяет любому отправить имя пользователя и вывести файл JSON, содержащий общедоступную информацию из профиля пользователя. Однако также можно ввести адрес электронной почты в API и подтвердить, что он связан с действующей учетной записью Duolingo.
BleepingComputer подтвердил, что этот API по-прежнему открыт для всех в сети, даже после того, как в январе Duolingo было сообщено о его неправильном использовании.
Этот API позволил злоумышленнику ввести в API миллионы адресов электронной почты, предположительно полученных в результате предыдущих утечек данных, и подтвердить, что они принадлежат учетным записям Duolingo. Эти адреса электронной почты затем были использованы для создания набора данных, содержащего общедоступную и закрытую информацию.
Другой злоумышленник поделился своей собственной коллекцией данных API, указав, что тем, кто хочет использовать эти данные в фишинговых атаках, следует обратить внимание на определенные поля, которые указывают на то, что пользователь Duolingo имеет больше разрешений, чем обычный пользователь, и поэтому является более ценной целью.
BleepingComputer обратился к Duolingo с вопросами о том, почему API до сих пор общедоступен, но не получил ответа.
Утечка данных обычно игнорируется
- Компании склонны отбрасывать данные, полученные путем парсинга, утверждая, что большая часть данных уже общедоступна, даже если их не всегда легко собрать.
- Однако когда общедоступные данные смешиваются с личными данными, такими как номера телефонов и адреса электронной почты, раскрытая информация становится более рискованной и потенциально нарушает законы о защите данных.
- Например, в 2021 году в Facebook произошла крупная утечка данных после того, как уязвимость в API «Добавить друга» была использована для привязки телефонных номеров к учетным записям Facebook 533 миллионов пользователей.
- Комиссия по защите данных Ирландии (DPC) позже оштрафовала Facebook на 265 миллионов евро (около 275,5 миллионов долларов) за утечку данных.
- Совсем недавно уязвимость Twitter API была использована для сбора общедоступных данных и адресов электронной почты миллионов пользователей, что побудило ЦОД провести расследование.
Смотрели ли вы новые видео на YouTube от Olhar Digital? Подпишитесь на канал!