Duolingo, la popular aplicación de aprendizaje de idiomas, ha visto expuestos en Internet los datos de algunos de sus usuarios. Los datos escaneados de 2,6 millones de personas, que estuvieron a la venta en enero, están ahora disponibles en el mercado de la ciberdelincuencia BreachForums. La API abierta permite el raspado de más datos.
La muestra de datos compartida contiene direcciones de correo electrónico, nombres de usuario, nombres y números de teléfono (si los ha facilitado el usuario), información sobre redes sociales y otros datos genéricos como estudios de idiomas, experiencia, progresos y logros, etc. De acuerdo al portal de Cyber News.
La estructura de los datos de la muestra proporcionada es la siguiente:
La lista completa, que contiene más de 2,6 millones de entradas únicas, está a la venta en un foro de hackers desde enero con un precio de salida de 1.500 dólares, abierto a negociaciones. La empresa ha reconocido desde entonces el problema, comentando a Record que los datos se habían extraído de información de perfiles públicos, pero que no se había producido ninguna violación de datos ni pirateo informático.
Ahora, se puede acceder a los datos de BreachForums por 8 créditos utilizados como moneda interna, por valor de 2,13 dólares. "Hoy he subido el Duolingo Scrape para que lo descarguéis, ¡gracias por leer y disfrutad!", escribe el usuario del foro.
Los investigadores de Vx-underground se dieron cuenta de que un Actor de Amenazas identificó un error en la API de Duolingo. El envío de un correo electrónico válido a la API devuelve información genérica de la cuenta del usuario. Advierten de que los datos filtrados se utilizarán para el doxxing, un tipo de ciberataque cuyo objetivo es descubrir la identidad real de una persona y publicar su información privada en línea. Eso también puede dar lugar a ataques de phishing selectivos.
El equipo de investigación de Cybernews descubrió que los datos de los usuarios de Duolingo siguen estando disponibles para el scraping, extendiéndose más allá de la lista disponible públicamente. Esto implica la posibilidad potencial de obtener otros datos como la ubicación, el avatar público o la foto.
La vulnerabilidad reside en la interfaz de programación de aplicaciones (API) expuesta de Duolingo, que los piratas informáticos pueden explotar fácilmente enviando un nombre de usuario o un correo electrónico para recopilar detalles públicos del perfil.
Los usuarios de Twitter (X) han revelado la disponibilidad de esta API al menos desde marzo. "En el pasado pude responder a preguntas difíciles relacionadas con OSINT gracias a esta API", dijo Ivano Somaini.
La información privada, como los correos electrónicos, no debería poder obtenerse de fuentes públicas. En uno de los casos más sonados de extracción de datos, Facebook fue multada con 276 millones de dólares por una filtración de datos en la UE.
Duolingo investiga si es necesario tomar más medidas
Un portavoz de Duolingo dijo a Cybernews que están al tanto de este informe.
"Estos registros se obtuvieron mediante data scraping de información de perfiles públicos. No tenemos indicios de que nuestros sistemas se hayan visto comprometidos. Nos tomamos muy en serio la privacidad y la seguridad de los datos y seguimos investigando este asunto para determinar si es necesario tomar más medidas para proteger a nuestros alumnos", dijo.
Además, Duolingo añadió que las direcciones de correo electrónico en este incidente se obtuvieron de otros sitios web, no de Duolingo.
"La API utilizada en este incidente se hace pública intencionalmente para ayudar a nuestros aprendices a encontrar amigos que también estén usando Duolingo. Los alumnos de Duolingo tienen la opción de hacer privados sus perfiles si prefieren que no se puedan buscar públicamente", comentó el portavoz.
La plataforma de aprendizaje de idiomas Duolingo cuenta con más de 500 millones de usuarios registrados y más de 60 millones de usuarios activos mensuales. La plataforma fue fundada en 2011 por Luis von Ahn y Severin Hacker.
Fuente: somoslibres
