Le informazioni personali di 2,6 milioni di utenti di Duolingo sono trapelate e messe in vendita su un forum di hacking. Questa violazione ha reso gli utenti vulnerabili ad attacchi di phishing mirati, facendo luce sulle potenziali conseguenze della combinazione di dati pubblici e privati in tali incidenti.
Duolingo, nota come una delle più grandi piattaforme di apprendimento linguistico al mondo, con oltre 74 milioni di utenti mensili in tutto il mondo, è stata vittima di un grave furto di dati all'inizio di quest'anno. È emerso che i dati raccolti includevano una miscela di nomi di accesso pubblici e nomi reali, oltre a dati più sensibili come indirizzi e-mail e informazioni interne legate al servizio Duolingo.
La violazione dei dati, i quali sono stati venduti per la prima volta per 1500 dollari sull'ormai chiuso forum di hacking Breached, ha sollevato notevoli preoccupazioni sulla sicurezza dei dati e sulla privacy degli utenti. Nonostante le informazioni provenissero da profili pubblici, l'inclusione di indirizzi e-mail ha trasformato questa violazione in un problema critico, con la possibilità per i malintenzionati di sfruttare le informazioni in tentativi di phishing.
Sebbene Duolingo abbia confermato che i dati trapelati provengono da informazioni di profilo disponibili pubblicamente, non ha affrontato la questione cruciale dell'esposizione degli indirizzi e-mail, che sono ben lontani dall'essere informazioni pubbliche.
È sorprendente che l'insieme di dati sia stato reso accessibile per soli 2,13 dollari su una versione rinnovata del forum Breached. Il set di dati è stato ottenuto sfruttando un'API condivisa apertamente, risalente al marzo 2023. Sorprendentemente, l'API ha permesso agli utenti di inserire un nome utente e di recuperare l'output JSON delle informazioni del profilo pubblico. Ancora più preoccupante, ha permesso agli utenti di inserire indirizzi e-mail e di accertare la loro connessione a un account Duolingo valido.
Nonostante la questione sia stata segnalata a Duolingo a gennaio, questa API è rimasta accessibile a chiunque su Internet, consentendo la raccolta di milioni di indirizzi e-mail, probabilmente provenienti da precedenti violazioni dei dati. Questi dati sono stati poi amalgamati per creare un set di dati completo, mescolando informazioni pubbliche e non.
Questo incidente serve a ricordare che la combinazione di dati pubblici e privati è tutt'altro che innocua. Casi simili, come la famigerata violazione di Facebook del 2021, in cui un bug dell'API ha collegato i numeri di telefono agli account di 533 milioni di utenti, e la successiva multa di 265 milioni di euro da parte della Commissione irlandese per la protezione dei dati (DPC), sottolineano la gravità di queste violazioni.
Allo stesso modo, un recente bug dell'API di Twitter ha portato allo scraping non autorizzato di indirizzi e-mail e dati pubblici di innumerevoli utenti, culminato in un'indagine del DPC.