I dati realativi a ben 2,6 milioni di utenti Duolingo sono stati venduti su un forum di hacking per 1.500 dollari lo scorso mese di gennaio. Tale operazione ha permesso ad alcuni cybercriminali di condurre attacchi phishing mirati verso gli utenti della piattaforma.
Duolingo è un servizio dedicato all’apprendimento delle lingue e, con i suoi oltre 74 milioni di utenti mensili, rappresenta una delle realtà più grandi in questo settore.
Le informazioni al centro della transazione illegale sarebbero login, nomi, e-mail e altri dati relativi all’utilizzo della piattaforma coinvolta. Sebbene Duolingo fosse a conoscenza dei dati sottratti, ha sottovalutato l’azione di hacking. La piattaforma, infatti, pensava che gran parte delle informazioni fosse di natura pubblica e che non riguardasse e-mail e altri dati sensibili.
A distanza di mesi, il pacchetto di informazioni è riapparso qualche giorno fa su un forum di hacking, venduto per appena 2,13 dollari. Sul post si legge “Oggi ho caricato i dati dello scraping di Duolingo affinché tu possa scaricarlo, grazie per aver letto e divertiti!“.
Il caso dell’API di Duolingo: un pericolo sottovalutato
I dati di Duolingo sono stati raccolti utilizzando un’API esposta che è stata condivisa apertamente almeno da marzo 2023, con i ricercatori che hanno twittato e documentato pubblicamente come utilizzare la stessa.
L’API consente a chiunque di inviare un nome utente e recuperare l’output JSON contenente le informazioni del profilo pubblico dell’utente. Tuttavia, è anche possibile inserire un indirizzo email nell’API e confermare se è associato a un account DuoLingo valido.
A rendere ancora più difficile la situazione vi sono le autorizzazioni di ogni singolo utente sulla piattaforma. Secondo quanto scoperto da alcuni hacker, infatti, questi non sono considerati come comuni utenti, ma hanno maggiore spazio di manovra. Dunque queste informazioni, in un contesto di hacking, potrebbero essere più preziose di quanto si possa pensare.
BleepingComputer ha contattato DuoLingo con domande sul motivo per cui l’API è ancora disponibile al pubblico ma non ha ricevuto risposta al momento di questa pubblicazione.