DuoLingo, finiscono sul darkweb 2,6 milioni di nomi e password di utenti: rischio phishing

DuoLingo, finiscono sul darkweb 2,6 milioni di nomi e password di utenti: rischio phishing

La fuga di dati era avvenuta a gennaio, e nei giorni scorsi il malloppo è stato nuovamente diffuso online

di pubblicata il , alle 16:01 nel canale Sicurezza
 

Nel gennaio scorso sono stati messi in vendita sul mercato nero del web i dati personali di circa 2,6 milioni di utenti, trafugati dalla popolare piattaforma di apprendimento linguistico  b, che vanta oltre 74 milioni di utenti in tutto il mondo. L'annuncio è apparso sul forum per hacker Breached, recentemente chiuso dalle autorità. I dati sono stati messi in vendita al prezzo di 1.500 dollari.

All'interno del dataset rubato è stato possibile trovare nomi reali, nomi utente pubblici, email e altre informazioni riservate estrapolate dal servizio Duolingo.  Nome e cognome sono visibili nei profili pubblici sulla piattaforma, ma non gli indirizzi email: la presenza permette quindi di incrociare dati e utilizzarli per attacchi mirati di phishing. Duolingo ha confermato che i dati trafugati provenivano da profili pubblici degli utenti, ma non ha comunque commentato il fatto che vi fossero anche gli indirizzi email degli utenti.

Il forum Breached è successivamente stato riaperto in una nuova veste, e il dataset trafugato da Duolingo è stato rimesso in vendita nei giorni scorsi al costo irrisorio di 8 crediti, corrispondenti ad appena 2,13 dollari.

I dati sono stati ottenuti sfruttando un'API di Duolingo che risulta essere accessibile pubblicamente almeno da marzo 2023, come documentato e condiviso su Twitter da diversi ricercatori. Sfruttando l'API è possibile inserire un nome utente e ottenere le informazioni di profilo in formato JSON, ma anche verificare se un indirizzo email è collegato ad un account Duolingo valido, nonostante quest'ultima funzione non sia di fatto pubblica.

Ed è sfruttando questa funzione che l'attaccante ha potuto recuperare le informazioni dei 2,6 milioni di utenti: utilizzando un elenco di indirizzi e-mail provenienti da altre fughe di dati, egli ha potuto confermare quale di questi fossero legate anche ad un account Duolingo, compilando così il dataset contenente informazioni pubbliche e private. L'API è stata utilizzata di recente da un alto hacker, che ha condiviso i risultati del suo operato sottolineando come sia possibile individuare account con permessi superiori alla norma, e di conseguenza condurre attacchi mirati verso essi. L'API continua ad essere accessibile liberamente da chiunque, nonostante la violazione fosse stata segnalata già nel mese di gennaio. 

I migliori sconti su Amazon oggi
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
-30%

Bosch Set da 34 Pezzi di punte e bit avvitamento in titanio X-Line (per legno, pietra e metallo, accessori trapano)

9.95 Compra ora
-30%

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

32.99 Compra ora
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Abufinzio23 Agosto 2023, 16:43 #1
Potete condividere la fonte dove dice che anche le password sono state pubblicate?
Grazie.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^