In einem Hackerforum sind die Daten von 2,6 Millionen Duolingo-Nutzern aufgetaucht. Anscheinend wurden sie durch das sogenannte Scraping erworben. Die böswilligen Akteure haben den Datensatz für 1.500 US-Dollar zum Verkauf angeboten.
In diesem Datensatz sind unter anderem E-Mails, Telefonnummern, Nutzernamen sowie Informationen darüber, wie Accounts die Plattform nutzen, enthalten, wie The Record berichtet. Solche Daten könnten von Akteuren verwendet werden, um beispielsweise eine Phishing-Attacke zu planen.
„Diese Aufzeichnungen wurden durch Data-Scraping öffentlicher Profilinformationen erlangt“, sagte ein Sprecher. „Es ist kein Datenverstoß oder Hackerangriff aufgetreten. Wir nehmen Datenschutz und Sicherheit ernst und untersuchen diese Angelegenheit weiterhin, um festzustellen, ob weitere Maßnahmen zum Schutz unserer Lernenden erforderlich sind.“
E-Mail und Telefonnummer nicht öffentlich
Laut Duolingo handelt es sich bei den Daten im angebotenen Satz um Informationen, die öffentlich auf den Profilen der Nutzer verfügbar sind. E-Mail-Adressen und Telefonnummern sind in der App allerdings nicht öffentlich einsehbar.
Die Hacker selbst behaupten, dass sie die Daten durch das Scrapen einer exponierten Anwendungsprogrammschnittstelle (API) erhalten haben. Dem Datensatz liegen Proben von 1.000 Accounts bei.
Der Datensatz wurde bereits im Januar dieses Jahres veröffentlicht. Es scheint allerdings so, als ob Duolingo die Schwachstelle in der API immer noch nicht geschlossen hat.
Die Lücke wurde wiederentdeckt
Vor Kurzem hat der Account VX-Underground auf X berichtet, dass eine Schwachstelle in der Duolingo API es erlaubt, Daten von Nutzern zu scrapen. Dazu muss jemand einfach nur eine valide E-Mail-Adresse an die API schicken, und er erhält dann Informationen wie E-Mail-Adresse, Namen und welche Kurse der Account belegt hat.
Die Wahrscheinlichkeit ist groß, dass es sich dabei um die gleiche Lücke handelt, die auch beim angebotenen Datensatz im Januar genutzt wurde. Auch VX-Underground zufolge ist die Lücke noch nicht geschlossen.
Die Entdeckung der exponierten API bei Duolingo und der Verkauf von Nutzerdaten im Hackerforum sind beunruhigende Entwicklungen. Sie unterstreichen die anhaltende Notwendigkeit für Unternehmen, Datenschutz und Sicherheit ernst zu nehmen.