[Brisant] Datenleck: Nutzerdaten von Duolingo in Hackerforum aufgetaucht

ziesell · 23.08.23, 17:28

Zitat:

Datenleck: Nutzerdaten von Duolingo in Hackerforum aufgetaucht

Ein Hacker hat Daten von rund 2,6 Millionen Duolingo-Nutzern veröffentlicht. Die genutzte Schwachstelle scheint noch heute präsent zu sein.

In einem Hackerforum hat ein böswilliger Akteur persönliche Daten von rund 2,6 Millionen Duolingo-Nutzern veröffentlicht. Darunter befinden sich einem Bericht von Bleeping Computer zufolge Namen, Nutzernamen, E-Mail-Adressen und weitere interne Daten, die mit dem Dienst der Lernanwendung in Zusammenhang stehen – zum Beispiel erlernte Sprachen oder genutzte Kurse. Durch die in dem Datensatz enthaltenen Informationen sei es Cyberkriminellen nun beispielsweise möglich, gezielte Phishing-Angriffe durchzuführen.

Erstmals seien die gestohlenen Duolingo-Daten im Januar 2023 zu einem Verkaufspreis von 1.500 US-Dollar in dem inzwischen abgeschalteten Hackerforum Breached aufgetaucht. Damals habe auch der Betreiber von Duolingo einen Abfluss von Daten aus öffentlichen Profilinformationen bestätigt, wenngleich das Unternehmen in diesem Zusammenhang nicht darauf eingegangen sei, dass in dem Datensatz auch nicht-öffentliche E-Mail-Adressen enthalten waren.

Duolingo-API erlaubt Datenklau noch heute

Sicherheitsforscher von VX-Underground erklärten kürzlich in einem X-Beitrag, durch welche Schwachstelle das Datenleck überhaupt zustande kam. Demnach gebe es bei Duolingo eine Programmierschnittstelle (API), die es jedem beliebigen Akteur mit Internetzugang ermöglicht, unter Angabe einer E-Mail-Adresse Profilinformationen des zugehörigen Nutzers abzurufen. Diese API soll laut Bleeping Computer noch immer zugänglich sein, obwohl der Betreiber des Dienstes bereits im Januar auf den Missbrauch hingewiesen wurde.

Damit sei es Angreifern möglich, anhand öffentlicher E-Mail-Listen aus früheren Datenlecks anderer Dienste automatisiert Millionen von Anfragen an die API zu übermitteln und all jene Datensätze zu speichern, für die die Programmierschnittstelle weitere Benutzerinformationen ausgibt. Unter den zurückgegebenen Daten gebe es auch bestimmte Felder, die darauf hinweisen, ob ein Anwender über spezielle Berechtigungen verfügt, so dass das zugehörige Konto für Kriminelle möglicherweise ein besonders wertvolles Angriffsziel darstelle.

Duolingo ist ein weitverbreiteter Onlinedienst zum Erlernen von Sprachen. Im letzten Quartalsbericht wies das Unternehmen bis Ende März 72,6 Millionen monatlich aktive Nutzer aus. Die Anzahl der zahlenden Anwender belief sich zu dieser Zeit auf 4,8 Millionen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]