Персональные данные пользователей платформы для обучения утекли

Персональные данные 2,6 миллиона пользователей платформы для изучения иностранных языков Duolingo были выложены на теневом форуме для скачивания за минимальную плату. В январе 2023 года злоумышленники предлагали приобрести базу данных сервиса Duolingo на сейчас уже закрытом хакерском форуме за 1500 американских долларов. Украденные данные в этот раз включали помимо открытой информации, такой как логины и имена, также и непубличную информацию: адреса e-mail, различные данные об обучении в онлайн-сервисе. Специалисты обеспокоены тем, что такие персональные данные могут быть использовать в фишинговых атаках на пользователей Duolingo.

Скомпрометированные данные были собраны с использованием интерфейса прикладного программирования (API), который находится в открытом доступе как минимум с марта 2023 года и по сей день. API помимо прочего позволяет «скормить» ему адрес электронной почты, чтобы проверить, относится ли он к активному аккаунту пользователя Duolingo. Таким образом, хакеры использовали утекшие ранее данные адресов e-mail для сбора более полной базы данных, которая содержала различные персональные данные: как открытые, так и непубличные.