Τα δεδομένα που συλλέχθηκαν από 2,6 εκατομμύρια χρήστες του DuoLingo διέρρευσαν σε ένα hacking φόρουμ, επιτρέποντας στους χάκερ να πραγματοποιήσουν στοχευμένες επιθέσεις phishing χρησιμοποιώντας τις αποκαλυφθείσες πληροφορίες.
Δείτε επίσης: Υγειονομική περίθαλψη 2023: Μειωμένες οι παραβιάσεις δεδομένων, αυξημένος ο αριθμός των θυμάτων
Το Duolingo είναι μία από τις μεγαλύτερες ιστοσελίδες για την εκμάθηση γλωσσών στον κόσμο, με πάνω από 74 εκατομμύρια μηνιαίους χρήστες παγκοσμίως.
Τον Ιανουάριο του 2023, κάποιος προσπάθησε να πουλήσει τα διαρρευσμένα δεδομένα 2,6 εκατομμυρίων χρηστών του DuoLingo στο πλαίσιο του κλεισίματος του hacking forum Breached, ζητώντας 1.500 δολάρια.
Αυτά τα δεδομένα περιλαμβάνουν μια μίξη δημόσιων συνδέσεων και πραγματικών ονομάτων, καθώς και μη δημόσιων πληροφοριών, συμπεριλαμβανομένων των διευθύνσεων email και των εσωτερικών πληροφοριών που σχετίζονται με την υπηρεσία του DuoLingo.
Ενώ το πραγματικό όνομα και το όνομα σύνδεσης είναι δημόσια διαθέσιμα στο προφίλ του χρήστη στο Duolingo, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου είναι πιο ανησυχητικές καθώς επιτρέπουν τη χρήση αυτών των δημόσιων δεδομένων σε επιθέσεις.
Δείτε επίσης: Scarab ransomware: Διανέμεται μέσω του Spacecolon toolset
Όταν τα δεδομένα ήταν προς πώληση, η DuoLingo επιβεβαίωσε στο TheRecord ότι είχαν συλλεχθεί από πληροφορίες δημόσιου προφίλ και ότι ερευνούσαν εάν θα πρέπει να ληφθούν περαιτέρω μέτρα προφύλαξης.
Ωστόσο, η Duolingo δεν αναφέρθηκε στο γεγονός ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου εμφανίζονταν επίσης στα δεδομένα, τα οποία δεν είναι δημόσιες πληροφορίες.
Όπως εντοπίστηκε αρχικά από το VX-Underground, το συνολικό σύνολο δεδομένων των 2,6 εκατομμυρίων χρηστών που συλλέχθηκε, κυκλοφόρησε χθες σε μια νέα έκδοση του hacking φόρουμ Breached έναντι 8 site credits, οι οποίες αντιστοιχούν σε μόλις 2,13 δολάρια.
Αυτά τα δεδομένα συλλέχθηκαν με τη χρήση μιας ανοιχτά προσβάσιμης διεπαφής προγραμματισμού εφαρμογών (API), η οποία έχει διαμοιραστεί δημόσια από τον Μάρτιο του 2023 τουλάχιστον, με ερευνητές να κάνουν tweet και να τεκμηριώνουν δημοσίως τον τρόπο χρήσης της διεπαφής.
Το API επιτρέπει σε οποιονδήποτε να υποβάλει ένα όνομα χρήστη και να ανακτήσει το JSON output που περιέχει τις πληροφορίες του δημόσιου προφίλ του χρήστη. Ωστόσο, είναι επίσης δυνατό να τροφοδοτήσετε μια διεύθυνση email στο API και να επιβεβαιώσετε εάν σχετίζεται με έναν έγκυρο λογαριασμό DuoLingo.
Το BleepingComputer επιβεβαίωσε ότι αυτή η διεπαφή εξακολουθεί να είναι δημόσια διαθέσιμη για οποιονδήποτε στον ιστό, ακόμα κι αφού το abuse της αναφέρθηκε στην DuoLingo τον Ιανουάριο.
Μέσω αυτής της διεπαφής προγραμματισμού εφαρμογών (API), ο κωδικοποιητής επεξεργάστηκε εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου, που πιθανώς αποκαλύφθηκαν σε προηγούμενες παραβιάσεις δεδομένων, και επιβεβαίωσε εάν ανήκαν σε λογαριασμούς του DuoLingo. Οι συγκεκριμένες διευθύνσεις ηλεκτρονικού ταχυδρομείου χρησιμοποιήθηκαν στη συνέχεια για τη δημιουργία του συνόλου δεδομένων που περιείχε δημόσιες και μη δημόσιες πληροφορίες.
Ένας άλλος επιτιθέμενος μοιράστηκε το δικό του API scrape, επισημαίνοντας ότι οι επιτιθέμενοι που επιθυμούν να χρησιμοποιήσουν τα δεδομένα σε επιθέσεις phishing θα πρέπει να δώσουν προσοχή σε συγκεκριμένα πεδία που υποδεικνύουν ότι ένας χρήστης του DuoLingo έχει περισσότερες άδειες από έναν κανονικό χρήστη και είναι έτσι πιο αξιόλογος στόχος.
Πηγή πληροφοριών: bleepingcomputer.com