260 萬 Duolingo 用戶的數據在黑客論壇洩露,擔心一些人利用此暴露的信息進行有針對性的釣魚攻擊。Duolingo 作為全球其中一個最大的語言學習網站,每月擁有超過 7,400 萬的全球用戶。
包括真名、用戶名、電郵
在 2023 年 1 月,有人在現已關閉的 Breached 黑客論壇上以 1,500 美元的價格出售 2.6 百萬 Duolingo 用戶的擷取數據。
此數據包括公開登錄名和真實名稱的組合,以及包括電子郵件地址和與 Duolingo 服務相關的內部信息。雖然真實名稱和登錄名稱作為用戶的 Duolingo 資料的一部分是公開的,但電子郵件地址更令人擔心,因為它們允許公開數據被用於攻擊。
資料只售 2 美元?
Duolingo 向 TheRecord 確認它是從公開資料信息中擷取的,並表示正在調查是否應採取進一步的預防措施。然而,Duolingo 並未解釋數據中還列出了電子郵件地址,這些不是公開信息。VX-Underground 昨天在 Breached 黑客論壇的新版本上以僅需 2.13 美元(8 個網站積分)發佈。
API 漏洞導致
這些數據是自 2023 年 3 月以來,使用暴露的 API 掫取的,並且自那時以來一直公開分享,研究人員在 Twitter 上發文並公開記述如何使用該 API。該 API 允許任何人提交用戶名並檢索包含用戶的公開資料信息的 JSON 輸出。另外,也可以通過 API 將電子郵件地址「餵進去」,並確認它是否與有效的 Duolingo 帳戶相關聯。