Durch den jüngsten Datenschutzverstoß bei Duolingo wurden 2,6 Millionen Nutzer aufgedeckt, und alle ihre Informationen sind jetzt im Internet verfügbar und warten darauf, verkauft zu werden.
In einer besorgniserregenden Wende ist die weit verbreitete Sprachlern-App Duolingo zum jüngsten Ziel von Datenschutzverletzungen geworden und gefährdet die persönlichen Daten von 2,6 Millionen Nutzern. Die verletzten Daten, zu denen vertrauliche Details wie E-Mail-Adressen, Benutzernamen, Namen und Telefonnummern gehören, haben ihren Weg auf den Untergrund-Marktplatz für Cyberkriminalität, BreachForums, gefunden.
Der Vorfall hat Fragen zur Datensicherheit und zum Datenschutz aufgeworfen und das Unternehmen zum Handeln veranlasst. Schauen wir uns die Einzelheiten dieses Verstoßes und seine möglichen Auswirkungen genauer an.
2,6 Millionen waren von der Duolingo-Datenpanne betroffen
Duolingo-Benutzer erhielten schlechte Nachrichten, als festgestellt wurde, dass eine erhebliche Menge an Benutzerdaten online offengelegt worden war. Die persönlichen Daten von etwa 2,6 Millionen Personen wurden abgekratzt und auf BreachForums zum Verkauf angeboten, einem Untergrundmarktplatz, der dafür bekannt ist, solche illegalen Geschäfte zu hosten.
Die offengelegten Informationen enthalten eine Reihe von Daten, von grundlegenden Identifikatoren wie Benutzernamen und Namen bis hin zu detaillierteren Erkenntnissen wie Profilen in sozialen Netzwerken, Sprachkenntnissen, Erfahrungsniveaus und sogar Fortschritten und Erfolgen innerhalb der App.
Der vollständige Datensatz mit den Details von über 2,6 Millionen Nutzern ist seit Januar zu einem Preis von zunächst 1.500 US-Dollar erhältlich. Dieser Datenschatz, der eine potenzielle Goldgrube für Cyberkriminelle darstellt, ist jetzt für 8 Credits erhältlich, was in der hauseigenen Währung des BreachForums etwa 2,13 US-Dollar entspricht.
Im Inneren ist das Besorgniserregende PSNI-Datenverstoß
Diese krasse Enthüllung hat in der Cybersicherheits-Community die Alarmglocken schrillen lassen und Experten und Anwender gleichermaßen über das Ausmaß der Folgen des Verstoßes besorgt gemacht. „Heute habe ich Duolingo Scrape zum Herunterladen hochgeladen, vielen Dank fürs Lesen und viel Spaß!“ schrieb der Hacker im Forum.
Forscher konnten die Datenpanne bei Duolingo aufklären
Eine Gruppe von Forschern von Vx-Underground fand eine alarmierende Enthüllung im Zusammenhang mit der Datenpanne bei Duolingo. Es scheint, dass es einem Bedrohungsakteur gelungen ist, einen Fehler in der API von Duolingo auszunutzen. Durch die Übermittlung einer gültigen E-Mail an die API könnte der Angreifer die generischen Kontodaten des Benutzers abrufen. Diese Sicherheitslücke macht Benutzer anfällig für Doxxing, einen Cyberangriff, bei dem private Informationen preisgegeben werden und der zu gezielten Phishing-Angriffen führen kann.
Ein Bedrohungsakteur hat einen Fehler in der Duolingo-API identifiziert. Durch das Senden einer gültigen E-Mail an die API werden allgemeine Kontoinformationen zum Benutzer zurückgegeben (Name, E-Mail, gelernte Sprachen).
Sie nutzten eine E-Mail-Liste, um über 2,6 Millionen einzigartige Einträge zusammenzustellen.
Dies wird für das Doxxing verwendet.
— vx-underground (@vxunderground) 21. August 2023
Cybernews Forscher untersuchten den Verstoß weiter und stellten fest, dass die potenziellen Risiken über die ursprüngliche Größe hinausgehen. Sie stellten fest, dass Benutzerdaten auf Duolingo weiterhin anfällig für Scraping sind, was auf die Möglichkeit hindeutet, auf zusätzliche Informationen wie Standortdaten und öffentliche Avatare zuzugreifen. Die Sicherheitslücke entsteht hauptsächlich durch eine offengelegte Anwendungsprogrammierschnittstelle (API), die Hacker manipulieren können, um die öffentlichen Profildaten einer Person zu sammeln.
Duolingo arbeitet daran
Duolingo reagierte schnell auf die Situation, räumte den Verstoß ein und betonte gleichzeitig, dass in seinen Systemen kein tatsächlicher Hacker- oder Datenschutzverstoß stattgefunden habe. Nach Angaben des Unternehmens wurden die kompromittierten Daten über die Open API der Plattform aus öffentlich zugänglichen Profilinformationen gewonnen. A
Ein Sprecher von Duolingo versicherte den Benutzern, dass ihr Datenschutz und ihre Sicherheit von größter Bedeutung seien. Das Unternehmen untersucht die Angelegenheit aktiv und prüft, ob zusätzliche Maßnahmen erforderlich sind, um die Informationen seiner Benutzer zu schützen.
760.000 Benutzer sind danach in Gefahr Datenschutzverletzung bei Discord.io
Im weiteren Verlauf der Untersuchung erinnert die Sicherheitslücke an die entscheidende Bedeutung von Datenschutz und Cybersicherheit. Der Verstoß unterstreicht die Notwendigkeit für Unternehmen, ihre Systeme kontinuierlich zu überwachen und gegen sich entwickelnde Bedrohungen zu schützen. Während Duolingo Schritte unternimmt, um die Situation zu beheben, werden Benutzer aufgefordert, wachsam zu bleiben, strenge Sicherheitspraktiken anzuwenden und ihre persönlichen Daten zu überwachen.
Hervorgehobener Bildnachweis: Duolingo
