Duolingo kärsii massiivisesta tietomurrosta

 Kyberrikollisuuden rikokset ovat lisääntymässä, ja organisaatioiden on tullut erittäin tärkeäksi käyttää tiukkoja tietosuojatoimia varmistaakseen käyttäjätietojen turvallisuuden ja yksityisyyden. Kuitenkin, riippumatta siitä, kuinka varovaisia organisaatiot ovat, pahantahtoiset toimijat löytävät jollain tavalla tavan murtautua tietoturvaan saadakseen arkaluonteisia tietoja. Viime viikolla kolmannen osapuolen kumppanisovellus Discordin, Discord.io, kärsi tietomurrosta, mikä johti sen väliaikaiseen sulkemiseen. Ja nyt suosittu kieltenoppimissovellus Duolingo on joutunut tietomurron uhriksi. Jatka lukemista tietääksesi, millaisiin Duolingo-tietoihin hakkerit ovat päässeet käsiksi ja mitä yritys tekee asian suhteen.


Duolingo-käyttäjätietoja vuodettu verkossa

Käyttäjä @vx-undergroundin tekemän X-julkaisun (aiemmin tweetin) mukaan uhkaaja on kerännyt 2,6 miljoonaa Duolingo-käyttäjätietoa ja julkaissut sen suositun hakkerifoorumi Breachedin uudessa versiossa. Tietomurto vahvistettiin BleepingComputerin hiljattaisessa blogikirjoituksessa. Ja pahinta on, että nämä tiedot on tehty saataville foorumilla 8 sivuston hyvityksellä, joka on vain 2,13 dollaria, käytännössä lähes mitätön summa.

Nämä tiedot kerättiin hyödyntämällä olemassa olevaa vikaa Duolingo API:ssa, joka mahdollisti pahantahtoisen toimijan saada käyttäjän henkilökohtaisia tietoja, kuten sähköpostiosoitteita, yhteystietoja, osoitteita ja paljon muuta lähettämällä kelvollisen sähköpostin API:lle.


Hakkeri pystyi vahvistamaan aktiiviset Duolingo-käyttäjät syöttämällä miljoonia sähköpostiosoitteita haavoittuvan API:n kautta. Vahvistetut sähköpostiosoitteet käytettiin sitten datan keräämiseen, joka sisälsi sekä julkista että ei-julkista tietoa. Vaihtoehtoisesti on myös mahdollista syöttää käyttäjätunnus API:lle hakeakseen JSON-tulostetta, joka sisältää arkaluonteisia käyttäjätietoja.

Tämä ei kuitenkaan ole ensimmäinen kerta, kun nämä tiedot ovat ilmestyneet verkossa. Jo tammikuussa Falcon Feeds toi tämän asian esiin X-julkaisussa. Kerätty tietokanta julkaistiin vanhemmassa Breached-hakkerifoorumin versiossa 1 500 dollarilla. Paljastetut tiedot sisälsivät käyttäjien henkilökohtaisia tietoja, kuten sähköpostiosoitteita, puhelinnumeroita, kuvia, yksityisyysasetuksia ja paljon muuta.

Duolingo tunnusti tämän ongelman TheRecordille tuolloin ja vakuutti kaikille, että se tutkii asiaa. Kuitenkin alusta jotenkin unohti sen tosiasian, että yksityiset tiedot, kuten sähköpostiosoitteet, olivat myös osa kerättyä dataa.


Nyt huolestuttavin osa tässä ongelmassa on, että tartunnan saanut API on edelleen avoimesti saatavilla kaikille verkossa, vaikka tämä ongelma kiinnitti Duolingon huomion jo tammikuussa. Ja valitettavasti tämä ei ole yllättävää. Yritykset taipuvat usein laiminlyömään kerätyn datansa, koska se sisältää suurimmaksi osaksi jo julkaistuja tietoja eikä se ole helppo koota muodostaakseen uskottavaa uhkaa.

Kuitenkin Duolingo-tapauksessa tämä kerätty data sisälsi myös arkaluonteisia käyttäjätietoja, jotka eivät olleet julkisesti saatavilla. Tällä hetkellä voimme vain odottaa, että Duolingo ratkaisee tämän ongelman etusijalla. Ja jos tietosi kuuluvat vuodettujen joukkoon, parasta mitä voit tehdä, on vaihtaa tunnistetietosi ja/tai poistaa Duolingo-tilisi.


Next Post Previous Post