Dane związane z 2,6 miliona użytkowników popularnej aplikacji do nauki języków – Duolingo, zostały opublikowane na forum hakerskim. Obejmują one połączenie publicznych loginów i prawdziwych imion, a także informacje niepubliczne, w tym adresy e-mail i informacje wewnętrzne związane z usługą DuoLingo.
Wyciek
Dane te zostały pobrane przy użyciu metody scrappingu wykorzystującego ujawniony interfejs programowania aplikacji (API), który jest publicznie udostępniany co najmniej od marca 2023 r. Ten interfejs umożliwia każdemu przesłanie nazwy użytkownika i pobranie danych wyjściowych JSON zawierających informacje o profilu publicznym użytkownika. Jednakże możliwe jest również wprowadzenie adresu e-mail do API i potwierdzenie, czy jest on powiązany z ważnym kontem DuoLingo. Powyższe dane znalazły się na forum hackerskim i są wystawione na sprzedaż.
Stanowisko UODO w kontekście wycieku danych z polskich domen
Mimo że platforma otrzymała informacje o potencjalnym wykorzystaniu API w celu pozyskania danych już po pierwszym wycieku danych w styczniu, to API nadal jest dostępne publicznie dla wszystkich użytkowników internetu.
Wykradzione dane mogą być wykorzystywane do ataków phisingowych na dotkniętych wyciekiem użytkowników. Wszyscy korzystający z DuoLingo powinni więc zwracać szczególną uwagę na otrzymywane wiadomości e-mail i nie otwierać podejrzanych załączników.
