2,6 milyon DuoLingo kullanıcısının kazınmış verileri, bir bilgisayar korsanlığı forumunda sızdırıldı ve tehdit aktörlerinin, açığa çıkan bilgileri kullanarak hedefli kimlik avı saldırıları gerçekleştirmesine olanak sağladı.
Duolingo, dünya çapında aylık 74 milyondan fazla kullanıcısı ile dünyanın en büyük dil öğrenme sitelerinden biridir.
Ocak 2023’te birisi, şu anda kapalı olan Breached bilgisayar korsanlığı forumunda 2,6 milyon DuoLingo kullanıcısının kazınmış verilerini 1.500 dolara satıyordu.
Bu veriler, herkese açık oturum açma ve gerçek adların bir karışımını ve e-posta adresleri ve DuoLingo hizmetiyle ilgili dahili bilgiler dahil olmak üzere herkese açık olmayan bilgileri içerir.
Gerçek ad ve oturum açma adı, bir kullanıcının Duolingo profilinin bir parçası olarak herkese açık olsa da, e-posta adresleri, bu genel verilerin saldırılarda kullanılmasına izin verdiği için daha endişe vericidir.
Kaynak: Şahin Yemleri
Veriler satışa sunulduğunda DuoLingo, TheRecord’a verilerin herkese açık profil bilgilerinden çıkarıldığını ve daha fazla önlem alınması gerekip gerekmediğini araştırdıklarını doğruladı.
Ancak Duolingo, verilerde e-posta adreslerinin de listelendiği gerçeğine değinmedi, hangisi halka açık bilgi değildir.
tarafından ilk fark edildiği gibi VX-Yeraltıkazınmış 2,6 milyon kullanıcı veri seti dün Breached bilgisayar korsanlığı forumunun yeni bir sürümünde yalnızca 2,13 $ değerinde 8 site kredisi karşılığında yayınlandı.
Bilgisayar korsanlığı forumunda bir gönderide “Bugün, indirmeniz için Duolingo Scrape’i yükledim, okuduğunuz için teşekkürler ve keyfini çıkarın!”
Kaynak: BleepingComputer
Bu veriler, en az Mart 2023’ten beri açık bir şekilde paylaşılan ve araştırmacıların tweet atarak ve API’nin nasıl kullanılacağını herkese açık bir şekilde belgeleyerek açıkta kalan bir uygulama programlama arabirimi (API) kullanılarak kazındı.
API, herkesin bir kullanıcı adı göndermesine ve kullanıcının genel profil bilgilerini içeren JSON çıktısını almasına izin verir. Ancak, API’ye bir e-posta adresi göndermek ve bunun geçerli bir DuoLingo hesabıyla ilişkilendirilip ilişkilendirilmediğini doğrulamak da mümkündür.
BleepingComputer, kötüye kullanımı Ocak ayında DuoLingo’ya bildirildikten sonra bile bu API’nin web’deki herkesin kullanımına açık olduğunu onayladı.
Bu API, kazıyıcının muhtemelen önceki veri ihlallerinde ortaya çıkan milyonlarca e-posta adresini API’ye göndermesine ve bunların DuoLingo hesaplarına ait olup olmadığını doğrulamasına izin verdi. Bu e-posta adresleri daha sonra genel ve genel olmayan bilgileri içeren veri kümesini oluşturmak için kullanıldı.
Başka bir tehdit aktörü, verileri kimlik avı saldırılarında kullanmak isteyen tehdit aktörlerinin, bir DuoLingo kullanıcısının normal bir kullanıcıdan daha fazla izne sahip olduğunu ve dolayısıyla daha değerli hedefler olduğunu gösteren belirli alanlara dikkat etmesi gerektiğine işaret ederek kendi API kazımasını paylaştı.
BleepingComputer, API’nin neden hala genel kullanıma açık olduğuyla ilgili sorular için DuoLingo ile iletişime geçti, ancak bu yayın sırasında bir yanıt alamadı.
Kazınmış veriler düzenli olarak reddedilir
Şirketler, derlenmesi kolay olmasa bile, verilerin çoğu zaten halka açık olduğundan, kazınmış verileri bir sorun olmadığı için reddetme eğilimindedir.
Ancak, telefon numaraları ve e-posta adresleri gibi kamuya açık veriler özel verilerle karıştırıldığında, açığa çıkan bilgileri daha riskli hale getirme ve veri koruma yasalarını potansiyel olarak ihlal etme eğilimi gösterir.
Örneğin, 2021’de Facebook, 533 milyon kullanıcının telefon numaralarını Facebook hesaplarına bağlamak için bir “Arkadaş Ekle” API hatasının kötüye kullanılmasının ardından büyük bir sızıntı yaşadı. İrlanda veri koruma komisyonu (DPC) daha sonra Facebook’a bu kazınmış veri sızıntısı nedeniyle 265 milyon € (275,5 milyon $) para cezası verdi.
Daha yakın zamanlarda, milyonlarca kullanıcının herkese açık verilerini ve e-posta adreslerini kazımak için bir Twitter API hatası kullanıldı ve bu da DPC tarafından bir soruşturmaya yol açtı.