I dati di ben 2,6 milioni di utenti di Duolingo, la celebre piattaforma per l’apprendimento delle lingue straniere, sono trapelati su un forum di hacking consentendo la messa a segno di attacchi di phishing mirati sfruttando le informazioni esposte.
Duolingo: 2,6 milioni di dati degli utenti esposti
Considerando il fatto che Duolingo può contare su ben oltre 74 milioni di utenti mensili in tutto il mondo e che si tratta di uno dei principali servizi della sua categoria, quanto accaduto risulta essere particolarmente significativo, oltre che estremamente dannoso.
Da notare che i dati in questione sono stati diffusi per la prima volta a gennaio dell’anno corrente, quando qualcuno aveva messo in vendita le informazioni sul forum di hacking Breached ormai chiuso per la cifra di 1.500 dollari.
I dati esposti includevano nomi utente e nomi reali, unitamente a informazioni non pubbliche, compresi indirizzi email e dettagli inerenti direttamente a Duolingo stesso. Da tenere presente che mentre il nome utente e quello reale sono visibili pubblicamente sul profilo Duolingo degli utenti, tutti gli altri dettagli no e possono quindi essere sfruttati per la messa a segno di attacchi.
Questi dati sono ora stati resi disponibili nuovamente su una nuova versione del forum di hacking per 8 crediti, ovvero un valore pari a soli 2,13 dollari.
I dati sono stati raccolti utilizzando un’API che è stata condivisa a marzo 2023, con i ricercatori che hanno documentato in via pubblica come poterla sfruttare. L’API consente a chiunque di inviare un nome utente e recuperare l’output JSON con le informazioni del profilo pubblico dell’utente. Tuttavia, è anche possibile inserire un indirizzo e-mail nell’API e confermare se è associato a un account Duolingo valido.
Ti potrebbe interessare
23 ago 2023