2.6 milyon Duolingo kullanıcısının kazınmış verileri, bir hack forumunda sızdırıldı ve tehdit aktörlerinin maruz kalan bilgileri kullanarak hedeflenen kimlik avı saldırıları yapmasına izin verdi.
Duolingo, dünya çapında 74 milyondan fazla kullanıcı ile dünyanın en büyük dil öğrenme sitelerinden biridir.
Ocak 2023'te birisi, şu anda Shutdown ihlal edilen hack forumunda 2.6 milyon Duolingo kullanıcısının kazınmış verilerini 1.500 dolara satıyordu.
Bu veriler, genel giriş ve gerçek isimlerin bir karışımını ve e-posta adresleri ve Duolingo hizmeti ile ilgili dahili bilgiler de dahil olmak üzere halka açık olmayan bilgileri içerir.
Gerçek adı ve giriş adı, bir kullanıcının Duolingo profilinin bir parçası olarak herkese açık olarak kullanılabilir olsa da, e -posta adresleri bu genel verilerin saldırılarda kullanılmasına izin verdikleri için daha çok ilgilidir.
Veriler satışa sunulduğunda, Duolingo, kamu profili bilgilerinden kazındığını ve daha fazla önlemin alınması gerekip gerekmediğini araştırdıklarını doğruladı.
Ancak Duolingo, e -posta adreslerinin de kamuya açık bilgi olmayan verilerde listelendiği gerçeğini ele almadı.
VX-Underground tarafından ilk kez tespit edildiği gibi, kazınmış 2.6 milyon kullanıcı veri kümesi dün, sadece 2.13 $ değerinde 8 site kredisi için ihlal edilen hack forumunun yeni bir versiyonunda yayınlandı.
"Bugün indirmeniz için Duolingo Scrape'ı yükledim, okuduğunuz ve keyfini çıkardığınız için teşekkürler!"
Bu veriler, en azından Mart 2023'ten bu yana açık bir şekilde paylaşılan açık bir uygulama programlama arayüzü (API) kullanılarak kazınmış ve araştırmacılar API'nın nasıl kullanılacağını tweetliyor ve kamuya belgeliyor.
API, herkesin bir kullanıcı adı göndermesine ve kullanıcının genel profil bilgilerini içeren JSON çıkışını almasına izin verir. Ancak, API'ya bir e -posta adresi beslemek ve geçerli bir Duolingo hesabıyla ilişkili olup olmadığını onaylamak da mümkündür.
BleepingComputer, bu API'nin Ocak ayında Duolingo'ya bildirildikten sonra bile, web'deki herkes için hala açık bir şekilde mevcut olduğunu doğruladı.
Bu API, kazıyıcının, muhtemelen önceki veri ihlallerinde maruz kalan milyonlarca e -posta adresini API'ya beslemesine ve Duolingo hesaplarına ait olup olmadıklarını onaylamasına izin verdi. Bu e-posta adresleri daha sonra kamuya açık ve halka açık olmayan bilgileri içeren veri kümesini oluşturmak için kullanıldı.
Başka bir tehdit oyuncusu kendi API kazıklarını paylaştı, verileri kimlik avı saldırılarında kullanmak isteyen tehdit aktörlerinin, bir Duolingo kullanıcısının normal bir kullanıcıdan daha fazla izni olduğunu ve dolayısıyla daha değerli hedefler olduğunu gösteren belirli alanlara dikkat etmesi gerektiğini belirtti.
BleepingComputer, API'nın neden hala halka açık olduğuna dair sorularla Duolingo ile iletişime geçti, ancak bu yayın sırasında bir cevap almadı.
Şirketler, derlemenin çoğu halka açık olduğu için, verilerin çoğu halka açık olduğu için kazınmış verileri bir sorun değil olarak reddetme eğilimindedir.
Bununla birlikte, kamu verileri telefon numaraları ve e -posta adresleri gibi özel verilerle karıştırıldığında, maruz kalan bilgileri daha riskli hale getirme ve potansiyel olarak veri koruma yasalarını ihlal etme eğilimindedir.
Örneğin, 2021'de Facebook, "Arkadaş Ekle" API hatası, telefon numaralarını 533 milyon kullanıcı için Facebook hesaplarına bağlamak için istismar edildikten sonra büyük bir sızıntı yaşadı. İrlanda Veri Koruma Komisyonu (DPC) daha sonra bu kazınmış veri sızıntısı için Facebook'a 265 milyon € (275,5 milyon $) para cezasına çarptırdı.
Daha yakın zamanlarda, milyonlarca kullanıcının genel verilerini ve e -posta adreslerini kazımak için bir Twitter API hatası kullanıldı ve DPC'nin soruşturmasına yol açtı.
Hacker Veri ihlalinde satılık Breachforums veritabanı ve özel sohbetler
Discord.io, hacker 760K kullanıcının verilerini çaldıktan sonra ihlali onaylıyor
Yeni akustik saldırı,% 95 doğrulukla tuş vuruşlarından verileri çalıyor
Microsoft Visual Studio Code Flaw, uzantıların şifreleri çalmasına izin verir
Clop fidye yazılımı artık verileri sızdırmak ve yayından kaldırma işlemlerinden kaçmak için sel kullanıyor
Kaynak: Bleeping Computer