Com o aumento dos crimes de segurança cibernética, tornou-se significativamente importante que as organizações empreguem medidas rigorosas de proteção de dados para garantir a segurança e a privacidade dos dados dos utilizadores. No entanto, não importa o quão cuidadosas as organizações sejam, os malfeitores encontram uma forma ou de outra de violar a segurança para extrair dados confidenciais. Na semana passada, um aplicativo complementar de terceiros para Discord, Discord.io, sofreu uma violação de dados, que resultou em seu fechamento temporário. E agora, o popular aplicativo de aprendizagem de idiomas Duolingo foi vítima de uma violação de dados. Continue lendo para saber a quais dados do Duolingo os hackers têm acesso e o que a empresa está fazendo a respeito.
Dados de usuários do Duolingo vazaram online
De acordo com uma postagem X (tweetado anteriormente) feito por @vx-underground, um agente de ameaças extraiu 2,6 milhões de dados de usuários do Duolingo e os postou em uma nova versão do popular fórum de hackers Breached. A violação foi confirmada por Bip do computador em um postagem recente no blog. E o pior é que esses dados foram disponibilizados no fórum por 8 créditos do site, no valor de apenas US$ 2,13, o que é praticamente nada.
Esses dados foram coletados por manipulando um bug existente na API Duolingo isso permitiu que o malfeitor obtivesse detalhes pessoais do usuário, como ID de e-mail, detalhes de contato, endereços e muito mais, enviando um e-mail válido para a API.
O hacker conseguiu verificar usuários ativos do Duolingo alimentando milhões de endereços de e-mail para a API vulnerável. Os IDs de e-mail verificados foram então usados pelo hacker para criar um conjunto de dados contendo informações públicas e não públicas. Alternativamente, também é possível alimente um nome de usuário para a API para recuperar a saída JSONcontendo dados confidenciais do usuário.
No entanto, esta não é a primeira vez que estes dados aparecem online. Em janeiro, Alimentação do Falcão trouxe luz para esse problema por meio de um post X. O banco de dados copiado foi postado na versão mais antiga do fórum de hackers Breached para US$ 1.500. Os dados expostos continham informações pessoais dos usuários, como endereços de e-mail, números de telefone, fotos, configurações de privacidade e muito mais.
Duolingo reconheceu esse problema para O recorde naquela época e garantiu a todos que era investigando o assunto. No entanto, a plataforma de alguma forma não percebeu o fato de que informações privadas, como endereços de e-mail, também faziam parte dos dados descartados.
Agora, a parte mais preocupante sobre esta questão é que o API infectada ainda está disponível abertamente para todos na web, embora esse problema tenha chamado a atenção do Duolingo em janeiro. E, infelizmente, isso não é surpreendente. As empresas muitas vezes tendem a negligenciar seus dados extraídos, uma vez que eles contêm, em sua maioria, informações já públicas e não são os mais fáceis de compilar para representar qualquer ameaça credível.
Porém, no caso do Duolingo, isso dados copiados também continham informações confidenciais do usuário, não disponível publicamente. Por enquanto, só nos resta esperar que o Duolingo resolva este problema de forma prioritária. E caso seus dados estejam entre os vazados, o máximo que você pode fazer é alterar suas credenciais e/ou deletar sua conta Duolingo.
Com o aumento dos crimes de segurança cibernética, tornou-se significativamente importante que as organizações empreguem medidas rigorosas de proteção de dados para garantir a segurança e a privacidade dos dados dos utilizadores. No entanto, não importa o quão cuidadosas as organizações sejam, os malfeitores encontram uma forma ou de outra de violar a segurança para extrair dados confidenciais. Na semana passada, um aplicativo complementar de terceiros para Discord, Discord.io, sofreu uma violação de dados, que resultou em seu fechamento temporário. E agora, o popular aplicativo de aprendizagem de idiomas Duolingo foi vítima de uma violação de dados. Continue lendo para saber a quais dados do Duolingo os hackers têm acesso e o que a empresa está fazendo a respeito.
Dados de usuários do Duolingo vazaram online
De acordo com uma postagem X (tweetado anteriormente) feito por @vx-underground, um agente de ameaças extraiu 2,6 milhões de dados de usuários do Duolingo e os postou em uma nova versão do popular fórum de hackers Breached. A violação foi confirmada por Bip do computador em um postagem recente no blog. E o pior é que esses dados foram disponibilizados no fórum por 8 créditos do site, no valor de apenas US$ 2,13, o que é praticamente nada.
Esses dados foram coletados por manipulando um bug existente na API Duolingo isso permitiu que o malfeitor obtivesse detalhes pessoais do usuário, como ID de e-mail, detalhes de contato, endereços e muito mais, enviando um e-mail válido para a API.
O hacker conseguiu verificar usuários ativos do Duolingo alimentando milhões de endereços de e-mail para a API vulnerável. Os IDs de e-mail verificados foram então usados pelo hacker para criar um conjunto de dados contendo informações públicas e não públicas. Alternativamente, também é possível alimente um nome de usuário para a API para recuperar a saída JSONcontendo dados confidenciais do usuário.
No entanto, esta não é a primeira vez que estes dados aparecem online. Em janeiro, Alimentação do Falcão trouxe luz para esse problema por meio de um post X. O banco de dados copiado foi postado na versão mais antiga do fórum de hackers Breached para US$ 1.500. Os dados expostos continham informações pessoais dos usuários, como endereços de e-mail, números de telefone, fotos, configurações de privacidade e muito mais.
Duolingo reconheceu esse problema para O recorde naquela época e garantiu a todos que era investigando o assunto. No entanto, a plataforma de alguma forma não percebeu o fato de que informações privadas, como endereços de e-mail, também faziam parte dos dados descartados.
Agora, a parte mais preocupante sobre esta questão é que o API infectada ainda está disponível abertamente para todos na web, embora esse problema tenha chamado a atenção do Duolingo em janeiro. E, infelizmente, isso não é surpreendente. As empresas muitas vezes tendem a negligenciar seus dados extraídos, uma vez que eles contêm, em sua maioria, informações já públicas e não são os mais fáceis de compilar para representar qualquer ameaça credível.
Porém, no caso do Duolingo, isso dados copiados também continham informações confidenciais do usuário, não disponível publicamente. Por enquanto, só nos resta esperar que o Duolingo resolva este problema de forma prioritária. E caso seus dados estejam entre os vazados, o máximo que você pode fazer é alterar suas credenciais e/ou deletar sua conta Duolingo.