Tyler Cross
Udgivet på: August 24, 2023
Oplysninger fra 2.6 millioner brugere, der blev stjålet fra Duolingo i en dataskrabning, der fandt sted tidligere i år, sælges på et hackerforum til andre trusselsaktører.
Mens løsesummen startede ved $1,500 for adgang til brugeroplysningerne, der inkluderede fulde navne, e-mailadresser, sprog, de lærte, telefonnumre (i tilfælde, hvor det blev givet) og oplysninger i appen såsom erfaringspunkter, er hackerne pt. sælges for kun 2 kr.
"I dag har jeg uploadet Duolingo Scrape, så du kan downloade det, tak fordi du læste og nyd det," skrev skuespilleren.
Dataskrabet fandt sted i januar - Duolingo rapporterede, at selvom information blev skrabet, skete der ikke noget databrud. Trusselsaktører fandt en sårbarhed i en API, der gjorde det muligt for dem at indsende en e-mailadresse og modtage en .JSON-fil, der indeholdt alle brugeroplysninger.
Efter at have fundet sårbarheden brugte de brute force taktik; at proppe millioner af e-mails fra tidligere brud eller andre metoder ind i systemet for at få så mange .JSON-filer som muligt.
At have disse oplysninger giver andre kriminelle mulighed for at udføre social engineering-svindel, normalt phishing-svindel, der har til formål at stjæle penge fra brugere eller distribuere malware til ofrenes enheder.
"(API'en er) åbent tilgængeligt for alle på nettet, selv efter dets misbrug blev rapporteret til Duolingo i januar," udtalte forskere fra Bleeping Computer. For at gøre tingene værre, er andre kriminelle begyndt at afsløre deres egne API-skraber.
"A Threat Actor identificerede en fejl i Duolingo API. At sende en gyldig e-mail til API'en returnerer generiske kontooplysninger om brugeren (navn, e-mail, undersøgte sprog),” siger X-bruger, vx-underground, som først skrev om dataene til salg. "Dette vil blive brugt til doxxing."
Hvis du er en Duolingo-bruger, anbefales det, at du ændrer din adgangskode, undgår at bruge duplikerede oplysninger eller bruger en pålidelig antivirus med overvågning af databrud for at sikre dine oplysninger.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.safetydetectives.com/news/personal-information-from-2-6-million-duolingo-sold-online-for-2-dollars/
- :er
- :hvor
- 24
- 40
- 500
- a
- Om
- misbrug
- adgang
- Konto
- aktører
- adresse
- adresser
- Efter
- Alle
- tilladt
- tillader
- an
- ,
- nogen
- api
- ER
- AS
- At
- til rådighed
- avatar
- undgå
- BE
- begyndt
- være
- brud
- brud
- brute force
- Bug
- bære
- tilfælde
- lave om
- computer
- indeholdt
- Kriminelle
- Cross
- For øjeblikket
- data
- bruddet
- Enheder
- distribuere
- downloade
- tidligere
- emails
- Engineering
- nyde
- Endog
- erfaring
- File (Felt)
- Filer
- finde
- Fornavn
- Til
- Tving
- forum
- fundet
- fra
- fuld
- hacker
- hackere
- skete
- Have
- HTTPS
- i
- identificeret
- in
- medtaget
- oplysninger
- ind
- IT
- ITS
- januar
- json
- Sprog
- læring
- Making
- malware
- mange
- Matters
- betød
- metoder
- million
- millioner
- penge
- overvågning
- navn
- navne
- ingen
- numre
- opnå
- opnået
- forekom
- of
- on
- online
- kun
- på
- åbent
- or
- Andet
- ud
- egen
- Adgangskode
- personale
- Phishing
- Phishing-svindel
- telefon
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- mulig
- indsendt
- tidligere
- forudsat
- Ransom
- Læsning
- modtage
- anbefales
- pålidelig
- rapporteret
- forskere
- afkast
- afslørende
- salg
- siger
- svindel
- sikker
- Salg
- afsendelse
- Social
- Samfundsteknologi
- solgt
- påbegyndt
- erklærede
- stjålet
- studeret
- udstopning
- indsende
- sådan
- systemet
- taktik
- Tak
- at
- deres
- Them
- de
- denne
- i år
- trussel
- trusselsaktører
- til
- Tyler
- uploadet
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- sædvanligvis
- sårbarhed
- var
- web
- WebP
- var
- mens
- WHO
- vilje
- med
- inden for
- værre
- skrev
- X
- år
- Du
- Din
- zephyrnet