Se você tem conta no Duolingo, aplicativo voltado a aprendizagem de outras línguas, deve ficar atento. Isso porque dados de 2,6 milhões de pessoas que faziam uso dos serviços do Duolingo foram indevidamente acessados e compartilhados em um fórum utilizado por hackers.
O vazamento coloca em risco a possibilidade de ataques direcionados de phishing (tentativas de fraude e roubo de outros dados), uma vez que isso possa ser explorado por agentes mal-intencionados.
O Duolingo, renomado por ser um dos maiores portais de aprendizado de idiomas a nível mundial, tem mais de 74 milhões de usuários mensais globalmente. O fato ocorreu durante o mês de janeiro de 2023, onde informações confidenciais de cerca de 2,6 milhões de seus usuários foram identificadas à venda no fórum Breached, que posteriormente foi desativado. Reportagens indicam que "pacotes" desses dados estavam sendo comercializados por aproximadamente US$ 1.500.
O que vazou?
Detalhes incluem uma combinação de nomes reais e nomes de usuário publicamente conhecidos, indo além ao abranger informações consideradas não públicas, como endereços de e-mail e dados internos ligados aos serviços prestados pelo Duolingo. Esta violação de segurança pode ter implicações substanciais na privacidade e segurança dos usuários afetados.
Embora os nomes reais e nomes de usuário estejam acessíveis publicamente como parte dos perfis dos usuários no Duolingo, a preocupação se intensifica em relação aos endereços de e-mail, pois estes podem amplificar o risco associado aos dados públicos, possibilitando ataques de maior amplitude.
No período em que essas informações estavam sendo comercializadas, o Duolingo confirmou ao TheRecord que elas haviam sido obtidas a partir de detalhes públicos presentes nos perfis dos usuários, e que estavam em processo de investigação sobre a necessidade de implementar medidas adicionais de segurança. No entanto, o Duolingo não abordou a questão crítica relacionada aos endereços de e-mail que também constavam nos dados vazados, representando uma violação da esfera de informações não públicas.
Conforme relatado inicialmente pelo VX-Underground (site de detecção a hackers), o conjunto de informações pertencente aos 2,6 milhões de usuários foram colocados à venda por um valor equivalente a 8 créditos no site, totalizando um mero montante de US$ 2,13.
Uma postagem no referido fórum diz ainda: "Hoje, fiz o upload do vazamento relacionado ao Duolingo para que você possa baixá-lo. Agradeço pela sua atenção e aproveite o conteúdo!"
Como os dados do Duolingo foram vazados?
A origem desse vazamento de dados tem relação com a exposição de uma Interface de Programação de Aplicativos (API), que vem sendo compartilhada livremente desde, pelo menos, março de 2023. Nesse período, pesquisadores tornaram público, através de postagens em redes sociais, o processo de utilização dessa API.
A funcionalidade da API permite que qualquer indivíduo insira um nome de usuário, recebendo como resultado um arquivo JSON (formato aberto de transferência de dados estruturados), contendo informações de caráter público presentes no perfil do usuário.
A API possibilita também a inserção de um endereço de e-mail, verificando se ele está associado a uma conta válida do Duolingo. Verificou-se que essa API ainda permanece acessível na web para qualquer pessoa, mesmo após ter sido informada ao Duolingo em janeiro sobre seu mau uso.
A exploração dessa API permitiu ao hacker inserir milhões de endereços de e-mail, obtidos em vazamentos de dados anteriores, na interface e validar se tais endereços estavam ligados a contas do Duolingo.
Outro agente de cunho malicioso compartilhou sua própria colheita de dados proveniente da API, enfatizando que aqueles interessados em empregar os dados em ataques de phishing deveriam concentrar-se em campos específicos que sinalizam um nível de permissões superior em comparação a um usuário comum, tornando esses alvos mais valiosos.
O que foi exposto pelo Duolingo?
Os detalhes vazados incluem uma combinação de nomes reais e nomes de usuário publicamente conhecidos, indo além ao abranger informações consideradas não públicas, como endereços de e-mail e dados internos ligados aos serviços prestados pelo Duolingo.
Como os dados do Duolingo foram vazados?
A origem desse vazamento de dados tem relação com a exposição de uma Interface de Programação de Aplicativos (API), que vem sendo compartilhada livremente desde, pelo menos, março de 2023. Nesse período, pesquisadores tornaram público, através de postagens em redes sociais, o processo de utilização dessa API.
Siga o Ache Concursos no G o o g l e News e receba alertas e as principais notícias sobre concursos, empregos, estágios, governo e benefícios sociais.
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.
