Diese Woche, Ein Bedrohungsakteur hat die Datenbank mit 2,6 Millionen Duolingo-Benutzern gestohlen, die zuvor auf einem Datenmarktplatz zu einem hohen Preis verkauft worden war.
Der Dump enthält öffentliche und private Informationen wie Benutzernamen, tatsächliche Namen, E-Mail-Adressen und andere interne Daten. Diese können für gezielte Phishing-Angriffe verwendet werden, warnen Sicherheitsforscher.
Duolingo-Datenbank für weitere Hacks leeren
Mit über 74 Millionen aktiven Nutzern weltweit ist Duolingo heute eine der beliebtesten Sprachlernseiten. Trotz seines Ruhms hat das Unternehmen es versäumt, die Privatsphäre seiner Nutzer zu schützen, denn nun gibt ein Hacker seine Datenbank auf einem Datenmarktplatz frei.
Wie VX Underground bemerkte, Ein Bedrohungsakteur verkauft die erbeutete Datenbank von über 2,6 Millionen Duolingo-Benutzern auf einem überarbeiteten Hackerforum von Breached für acht Site Credits im Wert von nur 2,13 US-Dollar.
Ein Bedrohungsakteur hat einen Fehler in der Duolingo-API identifiziert. Das Senden einer gültigen E-Mail an die API gibt allgemeine Kontoinformationen des Benutzers zurück (Name, E-Mail, erlernte Sprachen).
Sie verwendeten eine E-Mail-Liste, um über 2,6 Millionen einzigartige Einträge zusammenzustellen.
Dies wird zum Doxxing verwendet.
— vx-underground (@vxunderground) 21. August 2023
Derselbe Dump wurde zuvor für 1.500 US-Dollar verkauft und enthält eine Mischung aus öffentlichen Anmelde- und Realnamen der Benutzer, E-Mail-Adressen und internen Informationen im Zusammenhang mit Duolingo. Forscher stellten fest, dass der Datensatz mithilfe einer freiliegenden Duolingo-API erstellt wurdezu dem auch mehrere öffentliche Dokumentationen verfügbar sind.
Über die API kann jeder einen Benutzernamen eingeben und eine JSON-Ausgabe abrufen, die die öffentlichen Profilinformationen des Benutzers enthält. Mit dieser Methode kann ein Bedrohungsakteur eine E-Mail-Adresse in die API eingeben, um zu bestätigen, ob sie mit einem gültigen Duolingo-Konto verknüpft ist.
Infolge, Der Bedrohungsakteur hat Millionen von E-Mail-Adressen eingegeben, die wahrscheinlich bei früheren Datendiebstählen offengelegt wurden, um Übereinstimmungen zwischen den E-Mail-Konten von Duolingo-Benutzern zu bestätigen und zu kuratieren.. Da es nicht öffentliche Informationen wie E-Mail-Adressen enthält, kann ein Bedrohungsakteur es für gezielte Phishing-Angriffe verwenden, warnen Forscher.
Ein anderer Bedrohungsakteur im selben Forum erwähnte, dass bestimmte Felder bei manchen Duolingo-Benutzern darauf hinweisen, dass sie über mehr Berechtigungen verfügen als andere, was sie zu wertvolleren Zielen macht.
Obwohl Unternehmen solche Datenverluste häufig mit der Begründung abtun, dass die Informationen bereits öffentlich zugänglich seien, ist ihre Kuratierung kompliziert und enthält manchmal sensible Daten.
