Tyler Croce
Pubblicato il: 24 Agosto 2023
Le informazioni di 2.6 milioni di utenti rubate da Duolingo in un data scraping avvenuto all'inizio di quest'anno vengono vendute su un forum di hacker ad altri autori di minacce.
Sebbene il riscatto partisse da $ 1,500 per l'accesso alle informazioni dell'utente che includevano nomi completi, indirizzi e-mail, lingue che stavano imparando, numeri di telefono (nei casi in cui sono stati forniti) e informazioni in-app come punti esperienza, gli hacker stanno attualmente lo vendo a soli 2$.
"Oggi ho caricato Duolingo Scrape affinché tu possa scaricarlo, grazie per aver letto e divertiti", ha scritto l'attore.
Lo scraping dei dati è avvenuto a gennaio: Duolingo ha riferito che nonostante le informazioni siano state raccolte, non si è verificata alcuna violazione dei dati. Gli autori delle minacce hanno riscontrato una vulnerabilità all'interno di un'API che consentiva loro di inviare un indirizzo e-mail e ricevere un file .JSON contenente tutte le informazioni degli utenti.
Dopo aver trovato la vulnerabilità, hanno usato tattiche di forza bruta; inserendo nel sistema milioni di e-mail ottenute da precedenti violazioni o altri metodi per ottenere il maggior numero possibile di file .JSON.
Il possesso di queste informazioni consente ad altri criminali di effettuare truffe di ingegneria sociale, in genere truffe di phishing intese a rubare denaro agli utenti o distribuire malware sui dispositivi delle vittime.
"(L'API è) apertamente disponibile a chiunque sul web, anche dopo che il suo abuso è stato segnalato a Duolingo a gennaio", hanno affermato i ricercatori di Bleeping Computer. A peggiorare le cose, altri criminali hanno iniziato a rivelare i propri scrap API.
"Un attore di minacce ha identificato un bug nell'API Duolingo. L'invio di un'e-mail valida all'API restituisce informazioni generiche sull'account dell'utente (nome, e-mail, lingue studiate)", afferma l'utente X, vx-underground, che per primo ha pubblicato i dati in vendita. "Questo verrà utilizzato per il doxxing."
Se sei un utente Duolingo, ti consigliamo di modificare la password, evitare di utilizzare informazioni duplicate o utilizzare un antivirus affidabile con monitoraggio della violazione dei dati per proteggere le tue informazioni.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.safetydetectives.com/news/personal-information-from-2-6-million-duolingo-sold-online-for-2-dollars/
- :È
- :Dove
- 24
- 40
- 500
- a
- WRI
- abuso
- accesso
- Il mio account
- attori
- indirizzo
- indirizzi
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- permesso
- consente
- an
- ed
- chiunque
- api
- SONO
- AS
- At
- disponibile
- Avatar
- evitare
- BE
- iniziato
- essendo
- violazione
- violazioni
- forza bruta
- Insetto
- trasportare
- casi
- il cambiamento
- computer
- contenute
- criminali
- Cross
- Attualmente
- dati
- violazione di dati
- dispositivi
- distribuire
- scaricare
- In precedenza
- Ingegneria
- godere
- Anche
- esperienza
- Compila il
- File
- ricerca
- Nome
- Nel
- forza
- Forum
- essere trovato
- da
- pieno
- degli hacker
- hacker
- successo
- Avere
- HTTPS
- i
- identificato
- in
- incluso
- informazioni
- ai miglioramenti
- IT
- SUO
- Gennaio
- json
- Le Lingue
- apprendimento
- Fare
- il malware
- molti
- Matters
- significava
- metodi
- milione
- milioni
- soldi
- monitoraggio
- Nome
- nomi
- no
- numeri
- ottenere
- ottenuto
- si è verificato
- of
- on
- online
- esclusivamente
- su
- apertamente
- or
- Altro
- su
- proprio
- Password
- cronologia
- phishing
- phishing
- telefono
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- possibile
- postato
- precedente
- purché
- Ransom
- Lettura
- ricevere
- raccomandato
- affidabile
- Segnalati
- ricercatori
- problemi
- rivelando
- vendita
- dice
- truffe
- sicuro
- Vendita
- invio
- Social
- Ingegneria sociale
- venduto
- iniziato
- ha dichiarato
- rubare
- studiato
- ripieno
- inviare
- tale
- sistema
- tattica
- Grazie
- che
- Il
- loro
- Li
- di
- questo
- quest'anno
- minaccia
- attori della minaccia
- a
- Tyler
- caricato
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- generalmente
- vulnerabilità
- Prima
- sito web
- WebP
- sono stati
- while
- OMS
- volere
- con
- entro
- peggio
- ha scritto
- X
- anno
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro