Croix de Tyler
Publié le: 24 août 2023
Les informations de 2.6 millions d'utilisateurs qui ont été volées à Duolingo lors d'un grattage de données survenu plus tôt cette année sont vendues sur un forum de hackers à d'autres acteurs malveillants.
Alors que la rançon commençait à 1,500 2 $ pour l'accès aux informations de l'utilisateur, notamment les noms complets, les adresses e-mail, les langues qu'ils apprenaient, les numéros de téléphone (dans les cas où elles étaient fournies) et les informations intégrées à l'application telles que les points d'expérience, les pirates sont actuellement je le vends pour seulement XNUMX$.
"Aujourd'hui, j'ai mis en ligne Duolingo Scrape pour que vous puissiez le télécharger, merci d'avoir lu et apprécié", a écrit l'acteur.
La récupération des données a eu lieu en janvier. Duolingo a signalé que même si les informations avaient été récupérées, aucune violation de données ne s'était produite. Les acteurs malveillants ont découvert une vulnérabilité dans une API qui leur permettait de soumettre une adresse e-mail et de recevoir un fichier .JSON contenant toutes les informations des utilisateurs.
Après avoir découvert la vulnérabilité, ils ont utilisé des tactiques de force brute ; insérer des millions d'e-mails obtenus lors de violations précédentes ou d'autres méthodes dans le système pour obtenir autant de fichiers .JSON que possible.
La possession de ces informations permet à d'autres criminels de commettre des escroqueries d'ingénierie sociale, généralement des escroqueries par phishing destinées à voler de l'argent aux utilisateurs ou à distribuer des logiciels malveillants sur les appareils des victimes.
"(L'API est) ouvertement accessible à tous sur le Web, même après que son abus ait été signalé à Duolingo en janvier", ont déclaré les chercheurs de Bleeping Computer. Pire encore, d’autres criminels ont commencé à révéler leurs propres failles d’API.
« Un acteur menaçant a identifié un bug dans l'API Duolingo. L'envoi d'un e-mail valide à l'API renvoie des informations génériques sur le compte de l'utilisateur (nom, e-mail, langues étudiées) », explique l'utilisateur X, vx-underground, qui a été le premier à publier sur les données à vendre. "Cela sera utilisé pour le doxxing."
Si vous êtes un utilisateur Duolingo, il est recommandé de modifier votre mot de passe, d'éviter d'utiliser des informations en double ou d'utiliser un antivirus fiable avec surveillance des violations de données pour sécuriser vos informations.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.safetydetectives.com/news/personal-information-from-2-6-million-duolingo-sold-online-for-2-dollars/
- :est
- :où
- 24
- 40
- 500
- a
- A Propos
- abus
- accès
- Compte
- acteurs
- propos
- adresses
- Après
- Tous
- permis
- permet
- an
- ainsi que
- chacun.e
- api
- SONT
- AS
- At
- disponibles
- Avatar
- éviter
- BE
- commencé
- va
- violation
- infractions
- la force brute
- Punaise
- porter
- cas
- Change
- ordinateur
- contenu
- Criminels
- Cross
- Lecture
- données
- violation de données
- Compatibles
- distribuer
- download
- Plus tôt
- emails
- ENGINEERING
- jouir
- Pourtant, la
- d'experience
- Déposez votre dernière attestation
- Fichiers
- trouver
- Prénom
- Pour
- Force
- Forum
- trouvé
- De
- plein
- pirate
- les pirates
- arrivé
- Vous avez
- HTTPS
- i
- identifié
- in
- inclus
- d'information
- développement
- IT
- SES
- Janvier
- json
- Langues
- apprentissage
- Fabrication
- malware
- de nombreuses
- compte
- signifiait
- méthodes
- million
- des millions
- de l'argent
- Stack monitoring
- prénom
- noms
- aucune
- numéros
- obtenir
- obtenu
- a eu lieu
- of
- on
- en ligne
- uniquement
- sur
- ouvertement
- or
- Autre
- ande
- propre
- Mot de Passe
- personnel
- phishing
- Les escroqueries par phishing
- Téléphone
- Platon
- Intelligence des données Platon
- PlatonDonnées
- des notes bonus
- possible
- posté
- précédent
- à condition de
- Ransom
- en cours
- recevoir
- recommandé
- fiable
- Signalé
- chercheurs
- Retours
- révélateur
- SOLDE
- dit
- les escroqueries
- sécurisé
- Disponible
- envoi
- Réseaux sociaux
- Ingénierie sociale
- vendu
- j'ai commencé
- A déclaré
- volé
- étudié
- rembourrage
- soumettre
- tel
- combustion propre
- tactique
- Merci
- qui
- La
- leur
- Les
- l'ont
- this
- cette année
- menace
- acteurs de la menace
- à
- tyler
- téléchargé
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- d'habitude
- vulnérabilité
- était
- web
- webp
- ont été
- tout en
- WHO
- sera
- comprenant
- dans les
- pire
- écrit
- X
- an
- Vous n'avez
- Votre
- zéphyrnet