Exposición de Datos de Duolingo
Se ha filtrado en un foro de hackers los datos raspados de 2.6 millones de usuarios de Duolingo, permitiendo a los actores de amenazas realizar ataques de phishing dirigidos utilizando la información expuesta.
Duolingo es uno de los sitios de aprendizaje de idiomas más grandes del mundo, con más de 74 millones de usuarios mensuales en todo el mundo.
Venta de Datos en Enero
En enero de 2023, alguien vendía los datos raspados de 2.6 millones de usuarios de Duolingo en el foro de hackers Breached, ahora cerrado, por $1,500.
Estos datos incluyen una combinación de nombres de inicio de sesión públicos y nombres reales, así como información no pública, incluidas direcciones de correo electrónico e información interna relacionada con el servicio Duolingo.
Preocupación por las Direcciones de Correo Electrónico
Aunque el nombre real y el nombre de inicio de sesión están disponibles públicamente como parte del perfil de un usuario de Duolingo, las direcciones de correo electrónico son más preocupantes ya que permiten que estos datos públicos se utilicen en ataques.
Confirmación de Duolingo
Cuando los datos estaban a la venta, Duolingo confirmó a TheRecord que se raspó de la información del perfil público y que estaban investigando si se deberían tomar precauciones adicionales.
Sin embargo, Duolingo no abordó el hecho de que las direcciones de correo electrónico también estaban listadas en los datos, lo cual no es información pública.
Datos Publicados en un Nuevo Foro
Como fue detectado por primera vez por VX-Underground, el conjunto de datos raspado de 2.6 millones de usuarios fue publicado ayer en una nueva versión del foro de hackers Breached por 8 créditos del sitio, con un valor de solo $2.13.
Uso de una API Expuesta
Estos datos fueron raspados utilizando una interfaz de programación de aplicaciones (API) expuesta que ha sido compartida abiertamente desde al menos marzo de 2023.
La API permite a cualquiera enviar un nombre de usuario y obtener una salida JSON que contiene la información del perfil público del usuario.
Sin embargo, también es posible introducir una dirección de correo electrónico en la API y confirmar si está asociada a una cuenta válida de Duolingo.
Abuso de la API
Se ha confirmado que esta API sigue estando abierta a cualquiera en la web, incluso después de que su abuso fue reportado a Duolingo en enero.
#OSINT🧵Tipp Duolingo : How to find someone’s Duolingo profile and related information by email::
— Ivano Somaini (@IvanoSomaini) March 2, 2023
– use the following API URL: https://t.co/aLggCUzKoz
– add target e-mail as a parameter
-…and many user informations are diclosed
-…i.e. if the user has a googleID, facebookID… pic.twitter.com/lgwO2VWzyv
Esta API permitió al raspador introducir millones de direcciones de correo electrónico, probablemente expuestas en filtraciones de datos anteriores, en la API y confirmar si pertenecían a cuentas de Duolingo.
Datos Raspados Regularmente Descartados
Las empresas tienden a descartar los datos raspados como si no fueran un problema, ya que la mayoría de los datos ya son públicos.
Sin embargo, cuando los datos públicos se mezclan con datos privados, como números de teléfono y direcciones de correo electrónico, tiende a hacer que la información expuesta sea más arriesgada y potencialmente viole las leyes de protección de datos.
Casos Anteriores de Filtraciones
Por ejemplo, en 2021, Facebook sufrió una filtración masiva después de que un error en la API «Agregar Amigo» fuera explotado para vincular números de teléfono a cuentas de Facebook de 533 millones de usuarios.
La Comisión de Protección de Datos de Irlanda (DPC) posteriormente multó a Facebook con €265 millones ($275.5 millones) por esta filtración de datos raspados.
Más recientemente, un error en la API de Twitter fue utilizado para raspar los datos públicos y direcciones de correo electrónico de millones de usuarios, lo que llevó a una investigación por parte de la DPC.
