Olhar Digital > Segurança e Privacidade > Duolingo: dados de 2,6 milhões de usuários vazam em fórum de hackers

Duolingo: dados de 2,6 milhões de usuários vazam em fórum de hackers

Dados de 2,6 milhões de usuários do Duolingo foram vazados em fórum usado por hackers, expondo informações e permitindo ataques de phishing
Ana Luiza Figueiredo23/08/2023 17h16
duolingo
Imagem: rafapress / Shutterstock.com
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Em um incidente alarmante de cibersegurança, dados de 2,6 milhões de usuários do Duolingo foram vazados em um fórum usado por hackers, possibilitando que agentes maliciosos conduzam ataques de phishing direcionados usando as informações expostas.

Ofertas
Mouse Gamer Redragon King Lite Preto Sensor PAW3313 10000 DPI
Vendido por Amazon
Mouse Gamer Redragon King Lite Preto Sensor PAW3313 10000 DPI
De: R$ 142,35
Por: R$ 117,64
Rack 1,33 mt para TV até 60" com estrutura usinada MDF 15mm THEO cor Cinamomo/Off White - Artely
Vendido por Amazon
Rack 1,33 mt para TV até 60" com estrutura usinada MDF 15mm THEO cor Cinamomo/Off White - Artely
Por R$ 317,61
ULANZI VL119 BASTÃO DE LUZ PORTÁTIL, Luz LED RGB 360° para Fotografia e Gravação de Vídeo, Bateria 2600mAh Recarregável, Tubo de Luz 2500-9000K Ajustável com LCD
Vendido por Amazon
ULANZI VL119 BASTÃO DE LUZ PORTÁTIL, Luz LED RGB 360° para Fotografia e Gravação de Vídeo, Bateria 2600mAh Recarregável, Tubo de Luz 2500-9000K Ajustável com LCD
De: R$ 154,00
Por: R$ 123,20
Mochila Executiva Unissex para Notebook até 15.6” - com Entrada USB e Passa-fio para fone – Ideal para Faculdade, Trabalho e Viagens – Antifurto, Reforçada e Confortável - Masculina e Feminina (Preto)
Vendido por Amazon
Mochila Executiva Unissex para Notebook até 15.6” - com Entrada USB e Passa-fio para fone – Ideal para Faculdade, Trabalho e Viagens – Antifurto, Reforçada e Confortável - Masculina e Feminina (Preto)
Por R$ 38,90
Pasta Canaleta A4, DAC, Pasta Canaleta A4 0822PP-VD, Verde, 0822PP-VD
Vendido por Amazon
Pasta Canaleta A4, DAC, Pasta Canaleta A4 0822PP-VD, Verde, 0822PP-VD
De: R$ 4,03
Por: R$ 1,82
Samsung Notebook Galaxy Book4, Windows 11 Home, Intel® Core™ 5, 16GB, 512GB SSD, NVIDIA® GeForce® MX570, 15.6'' Full HD LED, FingerPrint - Grafite
Vendido por Amazon
Samsung Notebook Galaxy Book4, Windows 11 Home, Intel® Core™ 5, 16GB, 512GB SSD, NVIDIA® GeForce® MX570, 15.6'' Full HD LED, FingerPrint - Grafite
Por R$ 5.399,00
Caixa de Som 2.1 14w RMS USB Conexão P2 Controle de Volume Preto - SP172
Vendido por Amazon
Caixa de Som 2.1 14w RMS USB Conexão P2 Controle de Volume Preto - SP172
De: R$ 119,90
Por: R$ 89,90
Cabo de carregamento e cabo de transferência de dados da série Baseus Cafule, USB-A e Lightning 1.5 A, 2 Meter, cinza - preto
Vendido por Amazon
Cabo de carregamento e cabo de transferência de dados da série Baseus Cafule, USB-A e Lightning 1.5 A, 2 Meter, cinza - preto
Por R$ 45,90
Fonte Carregador Para Notebook Acer Aspire 5 A514-54 A515-54 A315-34 19v 3,42A 65W Plug 3.0x1.1mm Pino Fino Bivolt com Cabo de Força
Vendido por Amazon
Fonte Carregador Para Notebook Acer Aspire 5 A514-54 A515-54 A315-34 19v 3,42A 65W Plug 3.0x1.1mm Pino Fino Bivolt com Cabo de Força
De: R$ 55,23
Por: R$ 52,07
Nobreak Interativo XNB 600VA 220V Preto Intelbras
Vendido por Amazon
Nobreak Interativo XNB 600VA 220V Preto Intelbras
De: R$ 536,90
Por: R$ 298,00
Nobreak Interativo ATTIV 700VA Bivolt Preto Intelbras
Vendido por Amazon
Nobreak Interativo ATTIV 700VA Bivolt Preto Intelbras
De: R$ 560,00
Por: R$ 475,87
Adaptador USB-C para HDMI 4K, USB 3.0 e Carga PD - Compatibilidade com MacBook, Thunderbolt 3 e DEX Android - Eleva Sua Experiência Multimídia Oferece Carga Rápida Vende Mais
Vendido por Amazon
Adaptador USB-C para HDMI 4K, USB 3.0 e Carga PD - Compatibilidade com MacBook, Thunderbolt 3 e DEX Android - Eleva Sua Experiência Multimídia Oferece Carga Rápida Vende Mais
Por R$ 24,90
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
Vendido por Amazon
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
De: R$ 330,05
Por: R$ 235,28
Lápis de Cor Ecolápis Triangular Jumbo 12 Cores + 2 Lápis Jumbo 2B, Faber-Castell
Vendido por Amazon
Lápis de Cor Ecolápis Triangular Jumbo 12 Cores + 2 Lápis Jumbo 2B, Faber-Castell
De: R$ 46,00
Por: R$ 36,22
Microsoft Xbox Wireless Controller Storm Breaker Special Edition - Wireless & Bluetooth Connectivity - New Hybrid D-Pad - New Share Button - Featuring Textured Grip
Vendido por Amazon
Microsoft Xbox Wireless Controller Storm Breaker Special Edition - Wireless & Bluetooth Connectivity - New Hybrid D-Pad - New Share Button - Featuring Textured Grip
Por R$ 598,99
Carregador Portátil (Power Bank) 20000Mah Turbo 22.5w Carregamento Ultra Rápido PD Visor Led com 2 Saídas Compatível com Android e IOS (Preto)
Vendido por Amazon
Carregador Portátil (Power Bank) 20000Mah Turbo 22.5w Carregamento Ultra Rápido PD Visor Led com 2 Saídas Compatível com Android e IOS (Preto)
Por R$ 89,49
  • O Duolingo é um dos maiores sites de aprendizado de idiomas do mundo, com mais de 74 milhões de usuários mensais globalmente.
  • No mês de janeiro de 2023, dados vazados de 2,6 milhões de usuários do Duolingo estavam sendo vendidos no agora desativado fórum Breached por US$ 1.500, segundo o BleepingComputer.
  • Esses dados incluem uma combinação de nomes reais e nomes de login públicos, bem como informações não públicas, como endereços de e-mail e informações internas relacionadas ao serviço do Duolingo.

Leia mais:

Embora o nome real e o nome de login estejam publicamente disponíveis como parte do perfil do usuário no Duolingo, os endereços de e-mail são mais preocupantes, uma vez que permitem que esses dados públicos sejam usados em ataques.

Quando os dados estavam à venda, o Duolingo confirmou ao TheRecord que eles haviam sido coletados de informações públicas de perfil e que estavam investigando se precauções adicionais deveriam ser tomadas. No entanto, o Duolingo não abordou o fato de que endereços de e-mail também estavam listados nos dados, o que não é informação pública.

Como observado primeiramente pelo VX-Underground, o conjunto de dados de 2,6 milhões de usuários vazados foi disponibilizado nesta segunda-feira em uma nova versão do fórum usado por hackers Breached, pelo equivalente a 8 créditos no site, totalizando apenas US$ 2,13.

“Hoje eu fiz o upload do vazamento do Duolingo para você baixar, obrigado por ler e aproveite!”, diz uma postagem no fórum.

Como ocorreu o vazamento de dados do Duolingo?

Esses dados foram obtidos por meio de uma interface de programação de aplicativos (API) exposta, que tem sido compartilhada abertamente desde pelo menos março de 2023, com pesquisadores tuitando e documentando publicamente como usar a API.

A API permite que qualquer pessoa envie um nome de usuário e obtenha como saída um arquivo JSON contendo informações públicas do perfil do usuário. No entanto, também é possível inserir um endereço de e-mail na API e confirmar se ele está associado a uma conta válida do Duolingo.

O BleepingComputer confirmou que esta API ainda está abertamente disponível para qualquer pessoa na web, mesmo após seu mau uso ter sido reportado ao Duolingo em janeiro.

Essa API permitiu ao invasor inserir milhões de endereços de e-mail, provavelmente obtidos em vazamentos de dados anteriores, na API e confirmar se eles pertenciam a contas do Duolingo. Esses endereços de e-mail foram então usados para criar o conjunto de dados contendo informações públicas e não públicas.

Outro agente malicioso compartilhou sua própria coleta de dados da API, indicando que aqueles que desejam usar os dados em ataques de phishing deveriam prestar atenção em campos específicos que indicam que um usuário do Duolingo possui mais permissões do que um usuário regular e, portanto, são alvos mais valiosos.

O BleepingComputer contatou o Duolingo com perguntas sobre por que a API ainda está publicamente disponível, mas não recebeu resposta.

Dados vazados rotineiramente desconsiderados

  • Empresas tendem a descartar dados obtidos por raspagem, argumentando que a maioria dos dados já é pública, mesmo que não seja necessariamente fácil de compilar.
  • No entanto, quando dados públicos são misturados com dados privados, como números de telefone e endereços de e-mail, as informações expostas tendem a se tornar mais arriscadas e potencialmente violar leis de proteção de dados.
  • Por exemplo, em 2021, o Facebook sofreu um grande vazamento depois que uma falha na API “Adicionar Amigo” foi explorada para vincular números de telefone a contas do Facebook de 533 milhões de usuários.
  • A Comissão de Proteção de Dados da Irlanda (DPC) posteriormente multou o Facebook em €265 milhões (cerca de $275,5 milhões) por esse vazamento de dados obtidos por raspagem.
  • Mais recentemente, uma falha na API do Twitter foi usada para coletar dados públicos e endereços de e-mail de milhões de usuários, levando a uma investigação pela DPC.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

Ana Luiza Figueiredo
Redator(a)
Ana Luiza Figueiredo no LinkedIn

Ana Luiza Figueiredo é repórter do Olhar Digital. Formada em Jornalismo pela Universidade Federal de Uberlândia (UFU), foi Roteirista na Blues Content, criando conteúdos para TV e internet.

Ícone tagsTags: