Potężny wyciek z Duolingo. Polacy kochają tę aplikację

Jak się okazuje, baza danych dostępna była na sprzedaż już w styczniu 2023 roku. Kosztowała jednak sporo – 1,5 tys. dol. – więc raczej niewielu się połasiło. Teraz ogłoszenie ponownie wróciło i informacje na temat użytkowników można było pozyskać za raptem 2,13 dol. Jeśli jesteście zdziwieni, że cyberprzestępcy na takie marne grosze wyceniają nasze dane, to… cóż, nie jest to niestety żadna nowość.

Nie ma więc ryzyka wycieku poufnych danych, jak hasła czy karty płatnicze. Doskonale jednak wiemy, że sam mail wystarczy, aby wyrządzić sporo szkód. Przestępcy wiedząc, kto ma konto na Duolingo, mogą wysłać fałszywą wiadomość o problemach z płatnością czy groźbą blokady konta. I tak wyłudzić bardziej wartościowe informacje.

Skąd hakerzy zdobyli maile użytkowników Duolingo, które nie powinny być na widoku? Okazuje się, że to banalna luka w zabezpieczeniach. Wystarczyło w publicznie dostępnym API wpisać adres mailowy, aby sprawdzić, czy należy on do użytkownika Doulingo. A że wycieków nie brakowało, wystarczyło wykorzystać już ujawnione adresy, aby powiązać je z kontami użytkowników językowej aplikacji.

Chociaż nie znamy konkretów wycieku, na wszelki wypadek dokładnie sprawdzajcie wiadomości, które otrzymujecie. To w zasadzie uniwersalna rada i należy o tym pamiętać nawet, gdy do żadnego wycieku nie dochodzi, ale w tym przypadku zagrożenie jest większe. Użytkownicy Duolingo właśnie stali się jeszcze łatwiejszym celem.

zdjęcie główne: Konstantin Savusia / Shutterstock