导语:黑客通过操纵 Duolingo API 中的漏洞来收集数据,从而获取大量的用户的个人信息。
继 Discord 因数据泄露而暂时停止运营之后,最流行的语言学习应用程序 Duolingo 也面临着数据泄露的问题。用户 @vx-underground在 X 上发布的帖子(此前曾在推特上发布)称,一名威胁行为者窃取了超过 260 万 Duolingo 用户的数据,并将其发布在了最新版的黑客论坛 "Breached "上。BleepingComputer 在其最近的帖子中已经证实了这一漏洞。
很显然,黑客是通过操纵 Duolingo API 中现有的漏洞来收集到这些数据的,他们只需向 API 发送一封有效的电子邮件,就能获取用户的个人数据、联系方式、地址等信息。
黑客通过向存在漏洞的 API 发送数百万个电子邮件地址,则会进一步成功找到了 Duolingo 的活跃用户。然后,这些电子邮件 ID就会被用来创建一个包含公开的以及非公开信息的数据集。另一种方法是向 API 提供用户名,然后获取包含敏感用户信息的 JSON 数据。
不过,这已经不是第一次在网上出现这种信息了。今年 1 月,Falcon Feeds 通过在推特上发布帖子提高了人们对这一问题的认识和理解。在 Breached 黑客论坛的上一次迭代中,有人曾经以 1,500 美元的价格出售用户数据库。数据中泄露了用户大量的个人信息,其中就包括了电子邮件地址、电话号码、照片、隐私设置等等。
早些时候,Duolingo 向 TheRecord 证实了此次数据泄露事件的发生,并一直保证正在调查此事。不过,他们并未提及数据中包含用户的私人信息。
这个问题最令人担忧的地方在于,尽管 Duolingo 在一月份就已经意识到了这个问题,但被攻击利用的 API 至今仍然可以在互联网上进行公开访问。不过令人遗憾的是,这种事情经常会发生。由于大多数被攻击的数据涉及的都是之前已经存在的信息,并不是新的用户信息数据集,因此企业往往会直接忽略它。
在 Duolingo 的案例中,外泄的数据还涉及大量的敏感数据,而这些敏感数据目前还并未公开。虽然 Duolingo 尚未解决这一问题,但在这种情况下,用户最多只能修改登录凭据或者删除 Duolingo 账户。
本文翻译自:https://www.cysecurity.news/2023/08/duolingo-data-breach-hackers-posts.html如若转载,请注明原文地址