Para los usuarios de la aplicación de aprendizaje de idiomas, Duolingo, llegan noticias desalentadoras. Los datos de 2,6 millones de sus usuarios han sido filtrados a través de un foro de hackers, lo que habilita a cualquier individuo con las aptitudes requeridas llevar a cabo ataques de phishing, empleando la información obtenida.
La filtración de esta información se produjo en enero de 2023, la cual fue puesta a la venta por 1.500 dólares (1.387 euros al cambio) en el foro de piratería Breached, una plataforma que en la actualidad se encuentra fuera de servicio. Entre los datos expuestos se incluyen nombres de usuario y nombres reales, así como detalles confidenciales como direcciones de correo electrónico y datos de servicios internos.
Duolingo sufre un ataque cibernético y expone 2,6 M de datos de usuarios
A pesar de que los nombres de usuario constituyen información pública e integran el perfil de cada usuario, los correos electrónicos no lo son. Esta diferencia podría exponer a los usuarios a posibles ataques de phishing a través del correo electrónico.
Cuando se descubrió esta situación, Duolingo confirmó que solo se habían obtenido datos de carácter público en la brecha de seguridad. Sin embargo, pasaron por alto que la dirección de correo electrónico no se considera información pública en su plataforma.
Recientemente, se compartió el conjunto completo de datos en una nueva edición del foro Breached por tan solo 8 créditos (moneda interna del foro), que equivale alrededor de 1,96 euros. El foro llevaba el mensaje: “Hoy subí Duolingo Scrape para que lo descargues. ¡Gracias por leer y disfrutar!”
Pero la amenaza no se detiene ahí. Se ha revelado que, además de esta filtración, existe un fallo en la aplicación que podría comprometer la seguridad de los 74 millones de usuarios mensuales que usan este servicio en todo el mundo.
¿Cómo se obtuvieron los datos de los usuarios?
Los datos fueron adquiridos utilizando una API que había estado expuesta durante varios meses. Expertos en seguridad han estado compartiendo de manera pública cómo usar esta API, la cual permite que cualquier persona ingrese información del usuario y reciba un archivo JSON que contiene los datos públicos del mismo.
Vx-underground, la popular biblioteca de malware, publicó en X (Twitter) que un hacker identificó un fallo en la API de Duolingo. Mediante este error, al proporcionar un correo electrónico válido a la API, se obtenía información básica de la cuenta del usuario, como su nombre, correo electrónico e idiomas estudiados.
A Threat Actor identified a bug in the Duolingo API. Sending a valid email to the API returns generic account information on the user (name, email, languages studied).
They used an email list to assemble over 2.6m unique entries.
This will be used for doxxing.
— vx-underground (@vxunderground) August 21, 2023
La situación más preocupante es que aún no se ha corregido el fallo en la API de Duolingo incluso después de que se identificara la brecha de seguridad en enero. De acuerdo el medio Bleeping Computer, la API sigue en circulación en Internet y cualquier persona puede acceder a ella.
Si eres un usuario de Duolingo, no hay mucho que puedas hacer para prevenir posibles riesgos en tu cuenta, ya que esto no se debe a una filtración de contraseñas ni a la divulgación de información estrictamente privada.
Fuente | Bleeping Computer
