Los datos de 2,6 millones de usuarios de DuoLingo se filtraron en un foro de piratería, lo que permitió a los actores de amenazas realizar ataques de phishing dirigidos utilizando la información expuesta.
Duolingo es uno de los sitios de aprendizaje de idiomas más grandes del mundo, con más de 74 millones de usuarios mensuales en todo el mundo.
En enero de 2023, alguien estaba vendiendo los datos de 2.6 millones de usuarios de DuoLingo en el foro de piratería Breach, ahora cerrado, por $ 1,500.
Estos datos incluyen una combinación de inicio de sesión público y nombres reales, e información no pública, incluidas direcciones de correo electrónico e información interna relacionada con el servicio DuoLingo.
Si bien el nombre real y el nombre de inicio de sesión están disponibles públicamente como parte del perfil de Duolingo de un usuario, las direcciones de correo electrónico son más preocupantes, ya que permiten que estos datos públicos se utilicen en ataques.
de piratería Fuente: Falcon Feeds
Cuando los datos estaban a la venta, DuoLingo confirmó a TheRecord que fueron eliminados de la información del perfil público y que estaban investigando si se debían tomar más precauciones.
Sin embargo, Duolingo no abordó el hecho de que las direcciones de correo electrónico también figuraban en los datos, lo que no es información pública.
Como fue descubierto por primera vez por VX-Underground, el conjunto de datos de 2.6 millones de usuarios raspados se lanzó ayer en una nueva versión del foro de piratería Breached por 8 créditos del sitio, por un valor de solo $ 2.13.
«Hoy he subido el Duolingo Scrape para que lo descargues, ¡gracias por leer y disfrutar!», se lee en una publicación en el foro de piratería.
Duolingo extrajo datos filtrados esencialmente de forma gratuita
Fuente: BleepingComputer
Estos datos se extrajeron utilizando una interfaz de programación de aplicaciones (API) expuesta que se ha compartido abiertamente desde al menos marzo de 2023, con investigadores twitteando y documentando públicamente cómo usar la API.
La API permite a cualquier persona enviar un nombre de usuario y recuperar la salida JSON que contiene la información del perfil público del usuario. Sin embargo, también es posible introducir una dirección de correo electrónico en la API y confirmar si está asociada con una cuenta válida de DuoLingo.
BleepingComputer ha confirmado que esta API todavía está disponible abiertamente para cualquier persona en la web, incluso después de que su abuso fuera reportado a DuoLingo en enero.
Esta API permitió al extractor alimentar millones de direcciones de correo electrónico, probablemente expuestas en violaciones de datos anteriores, en la API y confirmar si pertenecían a cuentas de DuoLingo. Estas direcciones de correo electrónico se utilizaron para crear el conjunto de datos que contiene información pública y no pública.
Otro actor de amenazas compartió su propio raspado de API, señalando que los actores de amenazas que deseen utilizar los datos en ataques de phishing deben prestar atención a campos específicos que indican que un usuario de DuoLingo tiene más permiso que un usuario normal y, por lo tanto, son objetivos más valiosos.
BleepingComputer se ha puesto en contacto con DuoLingo con preguntas sobre por qué la API todavía está disponible públicamente, pero no recibió una respuesta en el momento de esta publicación.
Datos extradidos descartados regularmente
Las empresas tienden a extraer y descartar los datos no como un problema, ya que la mayoría de los datos ya son públicos, incluso si no son necesariamente fáciles de compilar.
Sin embargo, cuando los datos públicos se mezclan con datos privados, como números de teléfono y direcciones de correo electrónico, tiende a hacer que la información expuesta sea más riesgosa y potencialmente violar las leyes de protección de datos.
Por ejemplo, en 2021, Facebook sufrió una fuga masiva después de que se abusara de un error de la API «Agregar amigo» para vincular números de teléfono a cuentas de Facebook para 533 millones de usuarios. La comisión irlandesa de protección de datos (DPC) multó más tarde a Facebook con € 265 millones ($ 275.5 millones) por esta filtración de datos raspados.
Más recientemente, se utilizó un error de la API de Twitter para raspar los datos públicos y las direcciones de correo electrónico de millones de usuarios, lo que llevó a una investigación por parte del DPC.
Fuente: https://www.bleepingcomputer.com
