Уровень языка — продвинутый, уровень безопасности — новичок.
Личные данные 2,6 миллионов пользователей платформы Duolingo выставлены на продажу. Эксперты по кибербезопасности предупреждают о рисках, связанных с доксингом (размещение информации в сети без согласия человека) и целевыми фишинговыми атаками.
Файл, содержащий более 2,6 миллиона уникальных записей, впервые был размещен на одном из хакерских форумов еще в январе этого года. Там начальная цена составляла $1,500. Теперь эта информация стала доступна на другой платформе — BreachForums, где ее можно приобрести за 8 кредитов, то есть $2,13.
Список включает в себя адреса электронной почты, имена, номера телефонов, ссылки на социальные сети и другие обобщенные сведения, такие как уровень знания языка, опыт, прогресс и достижения.
В Duolingo признали проблему, заявив, что злоумышленники применили метод скрапинга (автоматический сбор информации с веб-сайтов) публичных профилей. «Нет оснований думать, что наши системы были скомпрометированы. Мы серьезно относимся к безопасности и конфиденциальности», — прокомментировал ситуацию представитель.
По мнению компании, мошенники могли воспользоваться другими ресурсами, чтобы получить адреса электронной почты.
Специалисты из Vx-underground обнаружили, что угроза исходит от ошибки в API Duolingo (application programming interface). Этот интерфейс позволяет хакерам с минимальными усилиями собирать персональные данные, отправив системе запрос с почтой или именем человека.
Уязвимость все еще не устранена: данные остаются доступными для скрапинга. Это развязывает злоумышленникам руки для извлечения дополнительной информации из веб-ресурсов. Например, легко можно получить фотографии профилей и сведения о геолокации.
С момента основания в 2011 году на Duolingo зарегистрировалось более 500 миллионов человек, из которых более 60 миллионов активно пользуются сервисом каждый месяц. Новость об утечке ставит под вопрос безопасность платформы, особенно учитывая ее масштаб и популярность.
Наш канал — питательная среда для вашего интеллекта