Данните на над 2 000 0000 потребители на DuoLingo се появиха в хакерски форум
В началото на тази година, открадната информация от известния уебсайт за чуждоезиково образование DuoLingo се появява във към този момент нефункциониращия хакерски конгрес Breached. Данните са препоръчани за продажба и какво се е случило с тях след закриването на Breached, не беше известно. До тази седмица, когато информация, обвързвана с 2.6 милиона консуматори на DuoLingo се появи в различен хакерски конгрес в свободен достъп, предава Bleeping Computer.
Това, което е успокояващо в тази ситуация е, че няма чувствителни данни, като да вземем за пример банкови данни или пароли. В пакета с информация обаче участват имейл адреси. Когато през януари, незнайна страна разгласи за обмен въпросните данни, от DuoLingo обявиха, че информацията е достигната не посредством офанзива към форума, а посредством автоматизирано добиване на обществено налична информация на уеб страницата. Но имейл адресите на потребителите не са обществено налични от уеб страницата данни. Данните са се появили на една нова версия на Breached и се продава за осем форумни заема или $2.13.
Данните се оказва, че са били извлечени посредством обществено изложен апликационно-програмен интерфейс, който е бил наличен най-малко от март тази година. Той разрешава всеки да направи питане посредством потребителско име към уеб страницата и да получи JSON резултат, съдържащ обществената профилна информация на въпросния човек. Откритият достъп до интерфейс остава и в този момент, без значение от сигналите, които експертите пускат към DuoLingo. Освен потребителско име е допустимо и подаването на имейл адрес към интерфейса, като да вземем за пример подобен, който може да се открие в някой от множеството хакерски пробиви от последните години. Именно по подобен метод се допуска, че е и формирана базата данни с обществена и непублична информация на потребителите на уеб страницата.
