듀오링고 사용자 260만 명의 데이터 공개 유출

듀오링고는 월간 사용자 7,400만 명 이상을 보유한 세계 최대 규모의 언어 학습 웹사이트이자 앱입니다. 블리핑 컴퓨터에 따르면, 듀오링고 사용자의 개인 정보 유출을 통해 해커들이 표적 피싱 공격을 감행할 수 있게 될 가능성이 있습니다.

2023년 1월, 해커 포럼의 한 계정이 듀오링고 사용자 260만 명으로부터 수집한 데이터를 1,500달러에 판매한 사건이 발생했으며, 이후 해당 포럼은 폐쇄되었습니다.

이 데이터에는 로그인 정보, 실명, 그리고 이메일 주소 및 듀오링고 서비스와 관련된 내부 정보를 포함한 비공개 정보가 포함됩니다. 듀오링고 사용자 프로필에는 실명과 로그인 이름이 공개적으로 표시되지만, 이메일 주소는 익명으로 처리됩니다.

듀오링고는 TheRecord 에 수집 및 판매된 데이터가 공공 기록에서 추출되었으며, 추가 예방 조치 여부를 조사 중이라고 확인했습니다. 그러나 듀오링고는 해당 데이터에 이메일 주소가 포함되어 있다는 사실은 언급하지 않았습니다.

어제 해커 포럼의 새 버전에서 260만 명의 사용자 데이터가 단돈 2.13달러에 공개되었습니다. 이 데이터는 2023년 3월부터 공개적으로 공유된 애플리케이션 프로그래밍 인터페이스(API)를 통해 수집되었습니다.

이 듀오링고 API를 사용하면 누구나 사용자의 공개 프로필 정보를 조회해 달라는 요청을 제출할 수 있습니다. 또한, API에 이메일 주소를 제공하여 해당 주소가 듀오링고 계정과 연결되어 있는지 확인할 수도 있습니다.

BleepingComputer는 1월에 Duolingo에 API 남용 사례가 보고된 후에도 해당 API가 공개적으로 계속 사용 가능하다고 밝혔습니다.

해커가 이전 데이터 유출 사건에서 노출되었을 가능성이 있는 수백만 개의 이메일 주소를 API에 입력하여 듀오링고 계정 소유 여부를 확인했을 가능성이 있습니다. 이 이메일 주소들은 이후 공개 및 비공개 정보가 포함된 데이터 세트를 생성하는 데 사용되었습니다.

기업들은 수집된 데이터의 대부분이 이미 공개되어 있기 때문에 폐기하는 경향이 있습니다. 하지만 공개 데이터가 전화번호나 이메일 주소와 같은 개인 정보와 혼합될 경우, 노출된 정보의 위험성이 높아지고 데이터 보호법을 위반할 가능성이 있습니다.

2021년, 페이스북은 "친구 추가" API가 5억 3,300만 명의 페이스북 계정에 전화번호를 연결하는 데 악용되어 대규모 데이터 유출 사고를 겪었습니다. 아일랜드 데이터 보호 위원회(DPC)는 이 사고를 일으킨 페이스북에 2억 6,500만 유로(미화 2억 7,550만 달러)의 벌금을 부과했습니다. 최근 트위터 API의 버그가 수백만 명의 사용자의 공개 데이터와 이메일 주소를 스크래핑하는 데 사용되어 DPC의 조사가 시작되었습니다. 듀오링고는 악용 신고가 접수된 후에도 API를 모든 사람에게 공개한 이유를 아직 설명하지 않았습니다.