Duolingo: dados de 2,6 milhões de usuários vazam em fórum de hackers

Em um incidente alarmante de cibersegurança, dados de 2,6 milhões de usuários do Duolingo foram vazados em um fórum usado por hackers, possibilitando que agentes maliciosos conduzam ataques de phishing direcionados usando as informações expostas.

• O Duolingo é um dos maiores sites de aprendizado de idiomas do mundo, com mais de 74 milhões de usuários mensais globalmente.
• No mês de janeiro de 2023, dados vazados de 2,6 milhões de usuários do Duolingo estavam sendo vendidos no agora desativado fórum Breached por US$ 1.500, segundo o BleepingComputer.
• Esses dados incluem uma combinação de nomes reais e nomes de login públicos, bem como informações não públicas, como endereços de e-mail e informações internas relacionadas ao serviço do Duolingo.

Leia mais:

• Como colocar seu e-mail em ordem: 3 dicas práticas para organizar seu Gmail
• Google lança criptografia nos seus e-mails
• Após repercussão negativa, governo descarta ‘taxa de cibersegurança’

Embora o nome real e o nome de login estejam publicamente disponíveis como parte do perfil do usuário no Duolingo, os endereços de e-mail são mais preocupantes, uma vez que permitem que esses dados públicos sejam usados em ataques.

Quando os dados estavam à venda, o Duolingo confirmou ao TheRecord que eles haviam sido coletados de informações públicas de perfil e que estavam investigando se precauções adicionais deveriam ser tomadas. No entanto, o Duolingo não abordou o fato de que endereços de e-mail também estavam listados nos dados, o que não é informação pública.

Como observado primeiramente pelo VX-Underground, o conjunto de dados de 2,6 milhões de usuários vazados foi disponibilizado nesta segunda-feira em uma nova versão do fórum usado por hackers Breached, pelo equivalente a 8 créditos no site, totalizando apenas US$ 2,13.

“Hoje eu fiz o upload do vazamento do Duolingo para você baixar, obrigado por ler e aproveite!”, diz uma postagem no fórum.

Como ocorreu o vazamento de dados do Duolingo?

Esses dados foram obtidos por meio de uma interface de programação de aplicativos (API) exposta, que tem sido compartilhada abertamente desde pelo menos março de 2023, com pesquisadores tuitando e documentando publicamente como usar a API.

A API permite que qualquer pessoa envie um nome de usuário e obtenha como saída um arquivo JSON contendo informações públicas do perfil do usuário. No entanto, também é possível inserir um endereço de e-mail na API e confirmar se ele está associado a uma conta válida do Duolingo.

O BleepingComputer confirmou que esta API ainda está abertamente disponível para qualquer pessoa na web, mesmo após seu mau uso ter sido reportado ao Duolingo em janeiro.

Essa API permitiu ao invasor inserir milhões de endereços de e-mail, provavelmente obtidos em vazamentos de dados anteriores, na API e confirmar se eles pertenciam a contas do Duolingo. Esses endereços de e-mail foram então usados para criar o conjunto de dados contendo informações públicas e não públicas.

Outro agente malicioso compartilhou sua própria coleta de dados da API, indicando que aqueles que desejam usar os dados em ataques de phishing deveriam prestar atenção em campos específicos que indicam que um usuário do Duolingo possui mais permissões do que um usuário regular e, portanto, são alvos mais valiosos.

O BleepingComputer contatou o Duolingo com perguntas sobre por que a API ainda está publicamente disponível, mas não recebeu resposta.

Dados vazados rotineiramente desconsiderados

• Empresas tendem a descartar dados obtidos por raspagem, argumentando que a maioria dos dados já é pública, mesmo que não seja necessariamente fácil de compilar.
• No entanto, quando dados públicos são misturados com dados privados, como números de telefone e endereços de e-mail, as informações expostas tendem a se tornar mais arriscadas e potencialmente violar leis de proteção de dados.
• Por exemplo, em 2021, o Facebook sofreu um grande vazamento depois que uma falha na API “Adicionar Amigo” foi explorada para vincular números de telefone a contas do Facebook de 533 milhões de usuários.
• A Comissão de Proteção de Dados da Irlanda (DPC) posteriormente multou o Facebook em €265 milhões (cerca de $275,5 milhões) por esse vazamento de dados obtidos por raspagem.
• Mais recentemente, uma falha na API do Twitter foi usada para coletar dados públicos e endereços de e-mail de milhões de usuários, levando a uma investigação pela DPC.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!