Daten von Duolingo-Nutzern könnten immer noch gescrapet werden. (Bild: Diego Thomazini / Shutterstock)
In einem Hackerforum sind die Daten von 2,6 Millionen Duolingo-Nutzern aufgetaucht. Anscheinend wurden sie durch das sogenannte Scraping erworben. Die böswilligen Akteure haben den Datensatz für 1.500 US-Dollar zum Verkauf angeboten.
In diesem Datensatz sind unter anderem E-Mails, Telefonnummern, Nutzernamen sowie Informationen darüber, wie Accounts die Plattform nutzen, enthalten, wie The Record berichtet. Solche Daten könnten von Akteuren verwendet werden, um beispielsweise eine Phishing-Attacke zu planen.
„Diese Aufzeichnungen wurden durch Data-Scraping öffentlicher Profilinformationen erlangt“, sagte ein Sprecher. „Es ist kein Datenverstoß oder Hackerangriff aufgetreten. Wir nehmen Datenschutz und Sicherheit ernst und untersuchen diese Angelegenheit weiterhin, um festzustellen, ob weitere Maßnahmen zum Schutz unserer Lernenden erforderlich sind.“
E-Mail und Telefonnummer nicht öffentlich
Laut Duolingo handelt es sich bei den Daten im angebotenen Satz um Informationen, die öffentlich auf den Profilen der Nutzer verfügbar sind. E-Mail-Adressen und Telefonnummern sind in der App allerdings nicht öffentlich einsehbar.
Die Hacker selbst behaupten, dass sie die Daten durch das Scrapen einer exponierten Anwendungsprogrammschnittstelle (API) erhalten haben. Dem Datensatz liegen Proben von 1.000 Accounts bei.
Der Datensatz wurde bereits im Januar dieses Jahres veröffentlicht. Es scheint allerdings so, als ob Duolingo die Schwachstelle in der API immer noch nicht geschlossen hat.
Die Lücke wurde wiederentdeckt
Vor Kurzem hat der Account VX-Underground auf X berichtet, dass eine Schwachstelle in der Duolingo API es erlaubt, Daten von Nutzern zu scrapen. Dazu muss jemand einfach nur eine valide E-Mail-Adresse an die API schicken, und er erhält dann Informationen wie E-Mail-Adresse, Namen und welche Kurse der Account belegt hat.
Die Wahrscheinlichkeit ist groß, dass es sich dabei um die gleiche Lücke handelt, die auch beim angebotenen Datensatz im Januar genutzt wurde. Auch VX-Underground zufolge ist die Lücke noch nicht geschlossen.
Die Entdeckung der exponierten API bei Duolingo und der Verkauf von Nutzerdaten im Hackerforum sind beunruhigende Entwicklungen. Sie unterstreichen die anhaltende Notwendigkeit für Unternehmen, Datenschutz und Sicherheit ernst zu nehmen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team