Hackers vazam dados pessoais de 2,6 milhões de usuários do Duolingo

Hackers vazaram dados de 2,6 milhões de usuários do Duolingo, expondo informações pessoais e permitindo ataques de phishing por criminosos e usuários mal-intencionados. Os dados incluem nomes reais e nomes de login públicos, além de informações pessoais, como endereços de e-mail e informações internas relacionadas ao Duolingo.

Apesar de o nome real e o nome de login estarem publicamente disponíveis como parte do perfil do usuário na plataforma, o vazamento dos e-mails preocupa. As informações são do site BleepingComputer.

• 5 anos da LGPD: existe privacidade na era da IA? A opinião de 3 especialistas
• Hackers ganham prêmio por invadir satélite da Força Aérea dos EUA

Como aconteceu o ataque

O Duolingo é um dos maiores sites de aprendizagem de idiomas do mundo, com mais de 74 milhões de usuários mensais em todo o mundo.

Em janeiro de 2023, alguém estava vendendo os dados raspados de 2,6 milhões de usuários do aplicativo no fórum de hackers Breached, por US$ 1.500 (cerca de 7.300 reais, considerando a cotação atual).

No mesmo mês, o Duolingo confirmou ao portal The Record que as informações vazaram, e que estavam investigando se era preciso tomar outras precauções. No entanto, a empresa não comentou sobre o vazamento dos endereços de e-mail, que seria a questão mais grave.

Como observado pela primeira vez pelo usuário VX-Underground, no Twitter, o conjunto de dados de 2,6 milhões de usuários foi lançado nesta segunda-feira (21) em uma nova versão do fórum de hackers Breached, por 8 créditos de site — o que equivale a US$ 2,13 (cerca de R$ 10,30).

A Threat Actor identified a bug in the Duolingo API. Sending a valid email to the API returns generic account information on the user (name, email, languages studied).

They used an email list to assemble over 2.6m unique entries.

This will be used for doxxing.

— vx-underground (@vxunderground) August 21, 2023

Esses dados foram extraídos usando uma interface de programação de aplicativos (API), que foi compartilhada abertamente desde pelo menos março de 2023.

A API permite inserir um endereço de e-mail na API e confirmar se ele está associado a uma conta ativa do Duolingo.

O BleepingComputer entrou em contato com a companhia, para entender por que a API ainda está disponível publicamente, mas não recebeu uma resposta. O site confirmou que a API é acessível a qualquer pessoa na web, mesmo após o Duolingo ter tomado conhecimento do problema.