ハッカーが260万人のDuolingoユーザーの収集データをダンプ

人気の語学学習アプリ「Duolingo」の260万人のユーザーのデータがスクレイピングされ、ハッキングフォーラムで販売されている。

流出したデータには 260 万人の電子メール アドレス、名前、プロフィール写真が含まれており、これらは脅威アクターによって標的型フィッシング攻撃を実行するために悪用される可能性があります。

流出したデータには、ユーザーの Duolingo プロフィールの一部として公開されているパブリック ログイン名と実名の組み合わせが含まれていますが、電子メール アドレスや、公開されていない Duolingo サービスに関連する内部情報も含まれています。これにより、ユーザーが電子メールを介したフィッシング攻撃に対して脆弱になる可能性があるため、懸念が生じています。

知らない人のために説明すると、260 万件の顧客アカウントのスクレイピングされた情報は、2023 年 1 月に、現在は廃止されたハッキン​​グ フォーラム「Breached」で初めて 1,500 ドルで売りに出されました。

当時、ハッカーはハッキング フォーラムへの投稿で、公開されたアプリケーション プログラミング インターフェイス (API) をスクレイピングして情報を入手し、1,000 のアカウントからのデータのサンプルも提供したと述べました。

「私は、公開された API から収集した 260 万件の Duolingo アカウント エントリを販売しています。開始価格は 1,500 米ドルですが、価格は交渉可能です」とハッキング フォーラムの投稿を読んでください。

Duolingo が事件を知ったとき、彼らは次のように認めました。ザ・レコードそれは公開プロフィール情報から収集されたものですが、データ侵害やハッキングは発生していませんでした。

さらに、追加のセキュリティ対策の必要性を調べるために内部調査が進行中であると付け加えた。

ただし、公開されていない個人の電子メール アドレスも流出したデータの一部であるという事実については言及しませんでした。

最近、すべての情報を含むスクレイピングされた 260 万人のユーザー データセットが、Breached ハッキング フォーラムの新バージョンで 8 サイト クレジット (わずか 2.13 ドル相当) でリリースされました。VX-アンダーグラウンド

「こんにちは、BreachForums コミュニティ。今日はダウンロードできるように Duolingo Scrape をアップロードしました。読んで楽しんでくれてありがとう!」ハッキング フォーラムの投稿を読みます。

このデータは、Duolingo の公開されたアプリケーション プログラミング インターフェイス (API) の脆弱性を悪用して収集されたもので、これにより誰でもユーザー名を送信し、ユーザーの公開プロフィール情報 (名前、電子メール、学習した言語) で構成される JSON 出力を取得できます。

公開された API は、少なくとも 2023 年 3 月以降、公然と流通し、知られています。また、研究者らはツイートや公に文書化するAPIの使い方。

Vx-underground によると、ハッカーは電子メール アドレスを API に送信して、有効な Duolingo アカウントに関連しているかどうかを確認することで、この欠陥を簡単に悪用することができます。彼らは、漏洩したデータが個人情報収集に使用される可能性があり、標的型フィッシング攻撃につながる可能性があると警告している。

Duolingo が 2023 年 1 月にオープンすると通知されたにもかかわらず、BleepingComputer は API がまだ一般公開されていることを確認しました。DuoLingo は、API がまだオープンな理由についてまだ回答していません。

Duolingo は世界で最も人気のある世界最大の言語学習サイトの 1 つで、登録ユーザー数は 5 億人を超え、月間アクティブ ユーザー数は 7,400 万人を超えています。