今年初めに発生したデータスクレイピングで Duolingo から盗まれた 2.6 万人のユーザーの情報が、ハッカー フォーラムで他の脅威アクターに販売されています。
身代金は、フルネーム、メールアドレス、学習中の言語、電話番号(提供されている場合)、経験値などのアプリ内情報を含むユーザー情報へのアクセスに対して 1,500 ドルから始まりましたが、ハッカーは現在、たったの2ドルで売ってます。
「今日、ダウンロードできるようにDuolingo Scrapeをアップロードしました。読んで楽しんでくれてありがとう」と俳優は書いた。
データスクレイピングは XNUMX 月に発生しました。Duolingo は、情報がスクレイピングされた一方でデータ侵害は発生していないと報告しました。 攻撃者は、電子メール アドレスを送信して、すべてのユーザー情報を含む .JSON ファイルを受信できるようにする API 内の脆弱性を発見しました。
脆弱性を発見した後、彼らは強引な戦術を使用しました。 過去の侵害やその他の方法で取得した何百万もの電子メールをシステムに詰め込み、できるだけ多くの .JSON ファイルを取得します。
この情報を入手すると、他の犯罪者がソーシャル エンジニアリング詐欺 (通常はユーザーから金銭を盗んだり、被害者のデバイスにマルウェアを配布したりすることを目的としたフィッシング詐欺) を実行できるようになります。
「(API は)XNUMX 月にその悪用が Duolingo に報告された後でも、ウェブ上で誰でも公開されています」と Bleeping Computer の研究者は述べています。 さらに悪いことに、他の犯罪者が独自の API スクレイピングを公開し始めています。
「脅威アクターが Duolingo API のバグを特定しました。 有効な電子メールを API に送信すると、ユーザーの一般的なアカウント情報 (名前、電子メール、学習した言語) が返されます」と、販売用データについて最初に投稿した X ユーザーの vx-underground 氏は述べています。 「これは個人情報収集に使用されます。」
Duolingo ユーザーの場合は、パスワードを変更するか、重複した情報の使用を避けるか、データ侵害監視機能を備えた信頼できるウイルス対策ソフトウェアを使用して情報を保護することをお勧めします。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.safetydetectives.com/news/personal-information-from-2-6-million-duolingo-sold-online-for-2-dollars/
- :は
- :どこ
- 24
- 40
- 500
- a
- 私たちについて
- 虐待
- アクセス
- 俳優
- 住所
- アドレス
- 後
- すべて
- 許可されて
- ことができます
- an
- および
- 誰も
- API
- です
- AS
- At
- 利用できます
- アバター
- 避ける
- BE
- 始め
- さ
- 違反
- 違反
- 強引な
- バグ
- キャリー
- 例
- 変化する
- コンピュータ
- 含まれている
- 犯罪者
- Cross
- 現在
- データ
- データ侵害
- Devices
- 分配します
- ダウンロード
- 前
- メール
- エンジニアリング
- 楽しみます
- さらに
- 体験
- File
- 発見
- 名
- 強
- フォーラム
- 発見
- から
- フル
- ハッカー
- ハッカー
- が起こった
- 持ってる
- HTTPS
- i
- 特定され
- in
- 含まれました
- 情報
- に
- IT
- ITS
- 1月
- JSON
- ESL, ビジネスESL <br> 中国語/フランス語、その他
- 学習
- 作成
- マルウェア
- 多くの
- 事態
- 意味した
- メソッド
- 百万
- 何百万
- お金
- モニタリング
- 名
- 名
- いいえ
- 番号
- 入手する
- 得
- 発生した
- of
- on
- オンライン
- の
- 〜に
- 公然と
- or
- その他
- でる
- 自分の
- パスワード
- 個人的な
- フィッシング詐欺
- フィッシング詐欺
- 電話
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 可能
- 掲示
- 前
- 提供
- 身代金
- リーディング
- 受け取ります
- 推奨される
- 信頼性のある
- 報告
- 研究者
- 収益
- 明らかにする
- 塩
- 言う
- 詐欺
- 安全に
- 販売
- 送信
- 社会
- ソーシャルエンジニアリング
- 売ら
- 開始
- 明記
- 盗まれました
- 研究
- 詰め物
- 提出する
- そのような
- 戦術
- 感謝
- それ
- アプリ環境に合わせて
- それら
- 彼ら
- この
- 今年
- 脅威
- 脅威アクター
- 〜へ
- タイラー
- アップロード
- つかいます
- 中古
- ユーザー
- users
- 通常
- 脆弱性
- ました
- ウェブ
- webp
- した
- while
- 誰
- 意志
- 以内
- もっと悪い
- 書いた
- X
- 年
- You
- あなたの
- ゼファーネット