Hackers vazam dados pessoais de 2,6 milhões de usuários do Duolingo

Dados incluem nomes reais dos usuários e nomes de login, além de outras informações pessoais, como endereços de e-mail
Imagem: ilgmyzin/Unsplash/Reprodução

Hackers vazaram dados de 2,6 milhões de usuários do Duolingo, expondo informações pessoais e permitindo ataques de phishing por criminosos e usuários mal-intencionados. Os dados incluem nomes reais e nomes de login públicos, além de informações pessoais, como endereços de e-mail e informações internas relacionadas ao Duolingo.

Apesar de o nome real e o nome de login estarem publicamente disponíveis como parte do perfil do usuário na plataforma, o vazamento dos e-mails preocupa. As informações são do site BleepingComputer.

Como aconteceu o ataque

O Duolingo é um dos maiores sites de aprendizagem de idiomas do mundo, com mais de 74 milhões de usuários mensais em todo o mundo.

Em janeiro de 2023, alguém estava vendendo os dados raspados de 2,6 milhões de usuários do aplicativo no fórum de hackers Breached, por US$ 1.500 (cerca de 7.300 reais, considerando a cotação atual).

No mesmo mês, o Duolingo confirmou ao portal The Record que as informações vazaram, e que estavam investigando se era preciso tomar outras precauções. No entanto, a empresa não comentou sobre o vazamento dos endereços de e-mail, que seria a questão mais grave.

Como observado pela primeira vez pelo usuário VX-Underground, no Twitter, o conjunto de dados de 2,6 milhões de usuários foi lançado nesta segunda-feira (21) em uma nova versão do fórum de hackers Breached, por 8 créditos de site — o que equivale a US$ 2,13 (cerca de R$ 10,30).

Esses dados foram extraídos usando uma interface de programação de aplicativos (API), que foi compartilhada abertamente desde pelo menos março de 2023.

A API permite inserir um endereço de e-mail na API e confirmar se ele está associado a uma conta ativa do Duolingo.

O BleepingComputer entrou em contato com a companhia, para entender por que a API ainda está disponível publicamente, mas não recebeu uma resposta. O site confirmou que a API é acessível a qualquer pessoa na web, mesmo após o Duolingo ter tomado conhecimento do problema.

Assine a newsletter do Giz Brasil

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas