Os dados de 2,6 milhões de usuários do DuoLingo vazaram em um fórum de hackers, permitindo que atores mal-intencionados realizem ataques de phishing direcionados usando as informações expostas.
O Duolingo é um dos maiores sites de aprendizado de idiomas do mundo, com mais de 74 milhões de usuários mensais em todo o mundo.
Em janeiro de 2023, alguém estava vendendo os dados de 2,6 milhões de usuários do DuoLingo no agora desativado fórum de hacking Breached por $1,500.
Esses dados incluem uma mistura de login público e nomes reais, além de informações não públicas, incluindo endereços de email e informações internas relacionadas ao serviço do Duolingo.
Enquanto o nome verdadeiro e o nome de login estão disponíveis publicamente como parte do perfil de um usuário do Duolingo, os endereços de email são mais preocupantes, pois permitem que esses dados públicos sejam usados em ataques.
Quando os dados estavam à venda, o Duolingo confirmou ao TheRecord que foram scraped das informações do perfil público e que estavam investigando se deveriam ser tomadas maiores precauções.
No entanto, Duolingo não abordou o fato de que os endereços de email também foram listados nos dados, que não são informações públicas.
Como foi identificado primeiro por VX-Underground, o dataset raspado de 2,6 milhões de usuários foi lançado ontem em uma nova versão do fórum de hacking Breached por 8 créditos do site, valendo apenas $2.13.
"Hoje, fiz o upload da raspagem Duolingo para vocês baixarem, obrigado por lerem e aproveitem!", lê-se em uma postagem no fórum de hacking.
Esses dados foram scraped usando uma interface de programação de aplicativos (API) exposta que tem sido compartilhada abertamente desde pelo menos março de 2023, com pesquisadores tuitando e documentando publicamente como usar a API.
A API permite que qualquer pessoa envie um nome de usuário e obtenha a saída JSON contendo as informações públicas do perfil do usuário.
No entanto, também é possível alimentar um endereço de email na API e confirmar se ele está associado a uma conta DuoLingo válida.
BleepingComputer confirmou que esta API ainda está disponível abertamente para qualquer pessoa na web, mesmo após seu abuso ter sido relatado ao DuoLingo em janeiro.
Essa API permitiu que o raspador alimentasse milhões de endereços de email, provavelmente expostos em violações de dados anteriores, na API e confirmasse se eles pertenciam a contas DuoLingo.
Esses endereços de email foram então usados para criar o conjunto de dados contendo informações públicas e não públicas.
Outro ator ameaçador compartilhou sua própria raspagem de API, apontando que os atores que desejam usar os dados em ataques de phishing devem prestar atenção em campos específicos que indicam que um usuário do DuoLingo tem mais permissões que um usuário regular e, portanto, são alvos mais valiosos.
BleepingComputer entrou em contato com o Duolingo com perguntas sobre por que a API ainda está publicamente disponível, mas não recebeu uma resposta até o momento desta publicação.
As empresas tendem a desconsiderar os dados scraped como um problema, já que a maioria dos dados já é pública, mesmo que não seja necessariamente fácil de compilar.
No entanto, quando os dados públicos são misturados com dados privados, como números de telefone e endereços de email, a informação exposta tende a ser mais arriscada e potencialmente viola as leis de proteção de dados.
Por exemplo, em 2021, o Facebook sofreu um vazamento massivo após um bug na API "Adicionar Amigo" ser usado para vincular números de telefone a contas do Facebook para 533 milhões de usuários.
A comissão de proteção de dados irlandesa (DPC) mais tarde multou o Facebook em €265 milhões ($275,5 milhões) por este vazamento de dados.
Mais recentemente, um bug na API do Twitter foi usado para raspar os dados públicos e endereços de email de milhões de usuários, levando a uma investigação pelo DPC.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...