Le informazioni personali di ben 2,6 milioni di utenti di Duolingo sono state divulgate e messe in vendita su un forum di hacking. Questa violazione della sicurezza ha reso gli utenti vulnerabili ad attacchi di phishing mirati, mettendo in luce le possibili conseguenze della combinazione di dati pubblici e privati in tali incidenti.
Duolingo, nota come una delle più grandi piattaforme di apprendimento linguistico al mondo, con oltre 74 milioni di utenti mensili in tutto il mondo, è stata vittima di un grave furto di dati all’inizio di quest’anno. È stato scoperto che i dati raccolti includevano una miscela di nomi di accesso pubblici e nomi reali, oltre a informazioni più sensibili come indirizzi email e informazioni interne legate al servizio Duolingo.
La violazione dei dati, che inizialmente è stata venduta per 1500 dollari sul forum di hacking Breached, ha suscitato notevoli preoccupazioni in merito alla sicurezza dei dati e alla privacy degli utenti. Nonostante le informazioni provenissero da profili pubblici, l’inclusione degli indirizzi email ha trasformato questa violazione in un problema critico, offrendo la possibilità ai malintenzionati di sfruttare tali informazioni per tentativi di phishing.
Sebbene Duolingo abbia confermato che i dati trapelati provengono da informazioni di profilo disponibili pubblicamente, non ha affrontato in modo adeguato la questione dell’esposizione degli indirizzi email, che sono tutt’altro che informazioni pubbliche.
È sorprendente che l’insieme di dati sia stato reso accessibile per soli 2,13 dollari su una versione rinnovata del forum Breached. Il set di dati è stato ottenuto sfruttando un’API aperta e condivisa, risalente al marzo 2023. Incredibilmente, questa API ha consentito agli utenti di inserire un nome utente e ottenere in output le informazioni JSON del profilo pubblico. Ancora più preoccupante, ha permesso agli utenti di inserire indirizzi email e verificare se fossero collegati a un account Duolingo valido.
Nonostante il problema sia stato segnalato a Duolingo a gennaio, questa API è rimasta accessibile a chiunque su Internet, consentendo la raccolta di milioni di indirizzi email, probabilmente provenienti da precedenti violazioni dei dati. Questi dati sono stati quindi combinati per creare un set di dati completo, mescolando informazioni pubbliche e non.
Questo incidente serve come avvertimento che la combinazione di dati pubblici e privati non è affatto innocua. Casi simili, come la famigerata violazione di Facebook del 2021, in cui un bug dell’API ha collegato i numeri di telefono agli account di 533 milioni di utenti, e la successiva multa di 265 milioni di euro imposta dalla Commissione irlandese per la protezione dei dati (DPC), evidenziano la gravità di tali violazioni.
Allo stesso modo, un recente bug dell’API di Twitter ha portato allo scraping non autorizzato di indirizzi email e dati pubblici di numerosi utenti, con conseguente avvio di un’indagine da parte del DPC.
Duolingo, dati di 2,6 milioni di persone in mano agli hacker
Le informazioni personali di 2,6 milioni di utenti di Duolingo sono state trapelate e messe in vendita su un forum di hacking. Questa violazione ha reso gli utenti vulnerabili ad attacchi di phishing mirati, mettendo in luce le potenziali conseguenze della combinazione di dati pubblici e privati in tali incidenti. Duolingo, una delle più grandi piattaforme di apprendimento linguistico al mondo con oltre 74 milioni di utenti mensili, è stata vittima di un grave furto di dati. I dati rubati includono una miscela di nomi di accesso pubblici e nomi reali, nonché informazioni sensibili come indirizzi email e informazioni interne legate al servizio Duolingo. I dati sono stati venduti per 1500 dollari su un forum di hacking chiamato Breached, alzando preoccupazioni sulla sicurezza dei dati e sulla privacy degli utenti. Nonostante le informazioni trapelate provenissero dai profili pubblici, l’inclusione degli indirizzi email rende questa violazione un problema critico con la possibilità di usare le informazioni per attacchi di phishing. L’API di Duolingo, rimasta accessibile a chiunque su Internet, ha permesso la raccolta di milioni di indirizzi email precedentemente esposti in violazioni dei dati. Questo incidente mette in evidenza il rischio associato alla combinazione di dati pubblici e privati. Analoghe violazioni, come la famosa violazione di Facebook del 2021, sottolineano la gravità di tali incidenti.
