Denna vecka, en hotaktör dumpade den skrapade databasen med 2,6 miljoner Duolingo-användare, som tidigare såldes för ett pris på en datamarknadsplats.
Dumpningen innehåller offentlig och privat information, som användarnamn, faktiska namn, e-postadresser och annan intern data. Detta kan användas för riktade nätfiskeattacker, varnar säkerhetsforskare.
Dumpar Duolingo-databas för fler hack
Med över 74 miljoner aktiva användare varje månad världen över är Duolingo en av de mest populära språkinlärningssajterna idag. Trots denna berömmelse har företaget misslyckats med att skydda sina användares integritet, eftersom en hackare nu delar sin databas på en datamarknadsplats.
Som noterat av VX Underground, en hotaktör säljer den skrapade databasen med över 2,6 miljoner Duolingo-användare på ett förnyat Breached-hackingforum för åtta webbplatskrediter, värda bara $2,13.
En hotskådespelare identifierade en bugg i Duolingo API. Att skicka ett giltigt e-postmeddelande till API:et returnerar generisk kontoinformation om användaren (namn, e-postadress, studerade språk).
De använde en e-postlista för att sammanställa över 2,6 miljoner unika poster.
Detta kommer att användas för doxxing.
— vx-underground (@vxunderground) 21 augusti 2023
Samma soptipp såldes tidigare för $1 500 och innehåller en blandning av användarnas offentliga inloggning och riktiga namn, e-postadresser och intern information relaterad till Duolingo. Forskare noterade att datasetet skapades med ett exponerat Duolingo APIpå vilken flera offentliga handlingar finns också.
API:et tillåter vem som helst att skicka ett användarnamn och hämta JSON-utdata, som innehåller användarens offentliga profilinformation. Med den här metoden kan en hotaktör skicka in en e-postadress till API:et för att bekräfta om den är kopplad till ett giltigt Duolingo-konto.
Som ett resultat hotaktören har matat miljontals e-postadresser, troligen avslöjade i tidigare dataintrång, för att bekräfta och kurera matchningar av e-postkonton till Duolingo-användare. Eftersom den innehåller icke-offentlig information som e-postadresser kan en hotaktör använda den för riktade nätfiskeattacker, varnar forskare.
En annan hotaktör i samma forum nämnde att specifika fält för vissa Duolingo-användare indikerar att de har fler behörigheter än andra, vilket gör dem till mer värdefulla mål.
Även om företag ofta avfärdar sådana dataärr och säger att informationen redan var offentlig, är det komplicerat att kurera dem och innehåller ibland känsliga uppgifter.
