Malas noticias para los amantes de la aplicación de aprendizaje de idiomas. Y es que se ha filtrado la información de 2,6 millones de sus usuarios a través de un foro de hackers, permitiendo a cualquiera con los conocimientos necesarios realizar ataques de phishing por medio de la información obtenida.
En enero de 2023 alguien filtró esta información y quiso venderla a un precio de 1.500 dólares en el foro Breached, sitio web ya cerrado. Entre la información de estos datos se encuentran nombres de usuario y nombres reales, e incluso información no pública como correos electrónicos e información interna del servicio.
Un documento con datos de millones de usuarios de Duolingo
Si bien los nombres de usuario son datos públicos y parte del perfil de cada usuario, los correos electrónicos no lo son, lo que haría vulnerables a los usuarios a ataques de phishing por medio del correo.
En el momento de conocer este hecho, Duolingo confirmó que en la brecha de seguridad solamente se pudieron obtener datos públicos. Sin embargo, no tuvieron en cuenta que el correo electrónico no es información pública en su servicio.
Recientemente, el dataset con toda la información fue lanzada en otra versión del foro de Breached por 8 créditos, moneda del foro que equivale a unos 2,13 dólares solamente. "Hoy he subido el Duolingo Scrape para que lo descarguéis, gracias por leer y disfrutad!," se podía leer en el foro.
La información fue obtenida por medio de una API que se encontraba expuesta desde hace meses. Investigadores han estado informando y documentando públicamente cómo utilizar dicha API, la cual permite a cualquiera enviar un nombre de usuario y obtener un archivo JSON conteniendo la información pública del usuario.
No obstante, también es posible enviar un correo electrónico a la API y comprobar si está asociado a una cuenta válida de Duolingo.
Desde el medio Bleeping Computer han confirmado que la API sigue circulando por la red y es accesible a cualquier persona, incluso tras haberse detectado la brecha de seguridad en enero.
La mayoría de las empresas tienden a ignorar este tipo de información filtrada cuando los datos son de conocimiento público. Sin embargo, en este caso hay una mezcla de datos públicos y privados, siendo una amenaza grave para el usuario que reciba ataques de phishing a través de su correo electrónico.
Si eres usuario de Duolingo tampoco es que puedas hacer nada para evitar cualquier riesgo con tu cuenta, ya que no se trata de una filtración de contraseñas ni de información puramente privada.
En Genbeta | Revolut fue hackeada y ha perdido 20 millones de dólares por un fallo en sus sistemas, según Financial Times
