Em um incidente de segurança, 2,6 milhões de usuários do Duolingo, a plataforma de aprendizagem de idiomas com mais de 74 milhões de usuários mensais, tiveram seus dados divulgados em um fórum de hackers. Os dados, inicialmente vendidos por US$ 1.500 em janeiro de 2023, foram posteriormente disponibilizados por US$ 2,13, evidenciando a facilidade de acesso a tais informações.
Os registros vazados incluem logins, nomes reais, endereços de e-mail e detalhes internos do serviço. Enquanto logins e nomes são publicamente acessíveis, a exposição de e-mails é particularmente preocupante, dada sua natureza privada e potencial uso em ataques de phishing.
A origem do vazamento foi rastreada até uma API exposta do Duolingo, que permite a recuperação de informações de perfil público. Alarmantemente, mesmo após a denúncia do abuso em janeiro, a API permanece acessível publicamente. Hackers exploraram essa vulnerabilidade, alimentando-a com endereços de e-mail para criar um conjunto de dados combinando informações públicas e privadas.
Com informações do BleepingComputer.