Daten von 2,6 Millionen Duolingo-Nutzern öffentlich durchgesickert

Duolingo ist die weltweit größte Website und App zum Sprachenlernen mit über 74 Millionen Nutzern pro Monat. Laut Bleeping Computer könnten Hacker durch die Veröffentlichung persönlicher Daten von Duolingo-Nutzern gezielte Phishing-Angriffe starten.

Im Januar 2023 verkaufte ein Konto in einem Hackerforum Daten von 2,6 Millionen Duolingo-Benutzern für 1.500 US-Dollar, und das Forum wurde seitdem geschlossen.

Zu diesen Daten gehören Anmeldedaten, echte Namen und nicht öffentliche Informationen, darunter E-Mail-Adressen und interne Informationen zum Duolingo-Dienst. Während in Duolingo-Benutzerprofilen echte Namen und Anmeldenamen öffentlich angezeigt werden, sind E-Mail-Adressen anonymisiert.

Duolingo bestätigte gegenüber TheRecord , dass die gesammelten und verkauften Daten aus öffentlichen Aufzeichnungen stammen und dass der Dienst prüft, ob weitere Vorsichtsmaßnahmen ergriffen werden müssen. Duolingo erwähnte jedoch nicht, dass in den Daten auch E-Mail-Adressen aufgeführt waren.

Daten von 2,6 Millionen Nutzern wurden gestern in einer neuen Version des Hackerforums für nur 2,13 Dollar veröffentlicht. Die Daten wurden mithilfe einer Anwendungsprogrammierschnittstelle (API) gesammelt, die seit März 2023 öffentlich zugänglich ist.

Mit dieser Duolingo-API kann jeder eine Anfrage zum Abrufen der öffentlichen Profilinformationen eines Benutzers senden. Es ist jedoch auch möglich, der API eine E-Mail-Adresse mitzuteilen und zu bestätigen, ob diese Adresse mit einem Duolingo-Konto verknüpft ist.

BleepingComputer sagte, die API sei auch dann noch öffentlich verfügbar geblieben, nachdem Duolingo im Januar über ihren Missbrauch informiert worden war.

Möglicherweise hat der Hacker Millionen von E-Mail-Adressen – wahrscheinlich aus früheren Datenlecks – in die API eingespeist, um zu prüfen, ob sie zu Duolingo-Konten gehörten. Diese E-Mail-Adressen wurden dann verwendet, um einen Datensatz mit öffentlichen und nicht-öffentlichen Informationen zu erstellen.

Unternehmen neigen dazu, gesammelte Daten zu verwerfen, da die meisten davon bereits öffentlich sind. Werden öffentliche Daten jedoch mit privaten Daten wie Telefonnummern und E-Mail-Adressen vermischt, erhöht dies das Risiko, dass die Informationen offengelegt werden, und verstößt möglicherweise gegen Datenschutzgesetze.

Im Jahr 2021 erlitt Facebook einen massiven Datendiebstahl, nachdem seine API „Freund hinzufügen“ missbraucht wurde, um Telefonnummern mit den Facebook-Konten von 533 Millionen Nutzern zu verknüpfen. Die irische Datenschutzkommission (DPC) verhängte gegen Facebook eine Geldstrafe von 265 Millionen Euro (275,5 Millionen US-Dollar) wegen des Verstoßes. Ein kürzlich aufgetretener Fehler in der API von Twitter wurde ausgenutzt, um öffentliche Daten und E-Mail-Adressen von Millionen von Nutzern abzugreifen, was zu einer Untersuchung durch die DPC führte. Duolingo hat noch keine Erklärung dafür abgegeben, warum es die API nach dem Eingang von Missbrauchsmeldungen für alle zugänglich ließ.