Информация о 2,6 млн пользователей DuoLingo, собранная при помощи скрапинга, опубликована на хакерском форуме. Дамп включает общедоступные логины и имена пользователей, а также приватную информацию, в том числе email-адреса и внутренние данные, связанные с сервисом DuoLingo.
Издание Bleeping Computer рассказывает, что еще в январе 2023 года, на закрытом теперь форуме Breached продавались те же данные 2,6 млн пользователей DuoLingo, и тогда продавец просил за них 1500 долларов.
Издание Bleeping Computer рассказывает, что еще в январе 2023 года, на закрытом теперь форуме Breached продавались те же данные 2,6 млн пользователей DuoLingo, и тогда продавец просил за них 1500 долларов.
Хотя настоящее имя и логин являются общедоступной информацией и частью пользовательского профиля Duolingo, утечка email-адресов является более серьезной проблемой, так как позволяет использовать общедоступные данные в атаках.
Когда данные пользователей были впервые выставлены на продажу, представители DuoLingo подтвердили журналистам TheRecord, что информация была собрана из профилей пользователей при помощи скрапинга, и в компании изучают инцидент, чтобы понять, нужно ли принимать какие-то дополнительные меры предосторожности. При этом в DuoLingo не прокомментировали тот факт, что дамп содержал и адреса электронной почты, которые к общедоступной информации не относятся.
Как теперь сообщает VX-Underground, на этой неделе тот же набор данных был опубликован на новой версии хакерского форума Breached, и его оценили всего в 8 кредитов (внутренняя валюта сайта, примерно 2,13 доллара США).
Когда данные пользователей были впервые выставлены на продажу, представители DuoLingo подтвердили журналистам TheRecord, что информация была собрана из профилей пользователей при помощи скрапинга, и в компании изучают инцидент, чтобы понять, нужно ли принимать какие-то дополнительные меры предосторожности. При этом в DuoLingo не прокомментировали тот факт, что дамп содержал и адреса электронной почты, которые к общедоступной информации не относятся.
Как теперь сообщает VX-Underground, на этой неделе тот же набор данных был опубликован на новой версии хакерского форума Breached, и его оценили всего в 8 кредитов (внутренняя валюта сайта, примерно 2,13 доллара США).
Данные были собраны с помощью API, информацией о котором в сети открыто делятся как минимум с марта 2023 года, а ИБ-специалисты в X (бывший Twitter) давно предупреждали об этом и документировали возможные способы эксплуатации.
Фактически API позволяет любому отправлять username и получать выходные данные JSON, содержащие информацию из общедоступного профиля пользователя. Также можно ввести адрес электронной почты и узнать, связан ли он с действующей учетной записью DuoLingo. Это позволило скраперам «проверить» миллионы email-адресов, которые ранее фигурировали в других утечках данных, и связать их с конкретными учетными записями DuoLingo.
Злоумышленники тоже изучали API компании и отмечали, что всем, кто захочет использовать данные в фишинговых атаках, стоит обратить внимание на определенные поля, которые указывают на то, что некоторые пользователи DuoLingo имеют больше разрешений, чем обычно, а значит, являются более «интересными» целями.
Хуже того, журналисты сообщают, что этот API открыт до сих пор, даже после множества публичных предупреждений и скрапинга данных.
Источник: Хакер
Фактически API позволяет любому отправлять username и получать выходные данные JSON, содержащие информацию из общедоступного профиля пользователя. Также можно ввести адрес электронной почты и узнать, связан ли он с действующей учетной записью DuoLingo. Это позволило скраперам «проверить» миллионы email-адресов, которые ранее фигурировали в других утечках данных, и связать их с конкретными учетными записями DuoLingo.
Злоумышленники тоже изучали API компании и отмечали, что всем, кто захочет использовать данные в фишинговых атаках, стоит обратить внимание на определенные поля, которые указывают на то, что некоторые пользователи DuoLingo имеют больше разрешений, чем обычно, а значит, являются более «интересными» целями.
Хуже того, журналисты сообщают, что этот API открыт до сих пор, даже после множества публичных предупреждений и скрапинга данных.
Источник: Хакер