2,6 milyon DuoLingo kullanıcısının verileri yayınlandı

   Ağustos 29, 2023  Posted in MalwareBytes


Siber suçlular, halka açık bir API kullanarak 2,6 milyon DuoLingo kullanıcısının verilerini ele geçirmeyi başardı.

Bilinmeyen bir taraf, 2,6 milyon DuoLingo kullanıcısının kazınmış verilerini bir bilgisayar korsanlığı forumunda yayınladı. Veri setini Ocak ayında 1.500 $ karşılığında satışa sunmuş olsalar da, bu set artık Breached hack forumunun yalnızca 2,13 $ değerindeki 8 site kredisi karşılığında yeni bir sürümünde yayınlandı.

DuoLingo, dil öğrenme programlarıyla ünlü bir eğitim platformudur. Mayıs 2023 tarihli bir basın açıklamasına göre DuoLingo’nun aylık 72,6 milyon aktif kullanıcısı var.

Kazınan veriler, diğerlerinin yanı sıra e-posta adreslerini, kullanıcı adlarını, dilleri ve kullanıcıların hangi dili öğrendiğini içerir.

Bilgisayar korsanları forumundaki gönderinin ekran görüntüsü

ekran görüntüsü izniyle FalconFeedsio

Veriler, açığa çıkan bir uygulama programlama arayüzü (API) kullanılarak genel profil bilgilerinden çıkarıldı. 2 Mart’ta Ivano Somaini adında bir araştırmacı tweet attı Bir e-posta adresinin bir Duolingo hesabıyla ilişkili olup olmadığını kontrol etmek için Duolingo’nun API’sinden nasıl yararlanılabileceği.

API, herkesin geçerli bir DuoLingo hesabıyla ilişkili olup olmadığını doğrulamak için bir kullanıcı adı veya e-posta adresi göndererek sorgu çalıştırmasına olanak tanır. Bleeping Computer, bu API’nin kötüye kullanımı Ocak ayında DuoLingo’ya bildirildikten sonra bile hala web üzerindeki herkesin kullanımına açık olduğunu doğruladı.

E-posta adresine göre yapılan bu tür bir sorgulama, JSON formatlı verilerle sonuçlanacak ve aşağıdakileri ortaya çıkaracaktır:

  • Seri – Bir kullanıcının serisi, Duolingo’yu ne kadar tutarlı kullandığının bir ölçüsüdür. Bir seri sıfırdan başlar ve kullanıcının dersi tamamladığı her gün için bir artar.
  • Profil resmi – Bu alan için Duolingo’nun API’si, //simg-ssl.duolingo.com/avatar/*******/********* yapısına sahip bir URL sağlar. //simg-ssl.duolingo.com/avatar/default_2 alırsanız bu, sorguladığınız e-posta adresiyle ilişkilendirilmiş profil resmi olmadığı anlamına gelir.
  • Dil öğrenmek, XP puanları ve kronlar – Duolingo’nun API’si, hesabın hangi kurslara kayıtlı olduğunu gösterir. XP puanları ve kronlar, bu kurslardaki ilerleme hakkında fikir verir. Duolingo’da öğrendiğinizde deneyim puanları veya kısaca XP kazanırsınız.
  • hasFacebookId – Profilin bir Facebook hesabıyla ilişkili olup olmadığını gösterir (doğru veya yanlış)
  • hasGoogleId – Profilin bir Google hesabıyla ilişkili olup olmadığını gösterir (doğru veya yanlış)
  • id – Muhtemelen Duolingo’nun kullanıcı kimliği.
  • kullanıcı adı – Duolingo hesabıyla ilişkili kullanıcı adı
  • hasPhoneNumber – Profilin bir telefon numarasıyla ilişkili olup olmadığını gösterir (doğru veya yanlış)
  • createdDate – Bu, hesabın ne zaman oluşturulduğunu gösteren bir Unix zaman damgasıdır (dönem zamanı).
  • name – Hesapla ilişkili gerçek ad.
  • Konum – Kullanıcı konumu (Duolingo tarafından incelenip incelenmediği bilinmiyor)
  • emailVerified – Hesapla ilişkili e-posta adresinin Duolingo tarafından kontrol edilip edilmediğini (doğru veya yanlış) gösterir.

HaveIbeenPwnd’ın (HIBP) Troy Avı açıkladı DuoLingo verilerindeki hemen hemen her e-posta adresinin HIBP veritabanında bulunmasının nasıl mümkün olduğu. Kullanılan e-posta adresleri, kişisel bilgilerimizin daha da fazlasını tehlikeye atmak için kullanılan veri ihlali alanından oluşan büyük bir eritme potasından geldi. Kazıyıcı, milyonlarca adresi deneyerek DuoLingo’da 2,6 milyon eşleşme buldu.

Troy Hunt şunları ekledi:

“Ben bir Duolingo kullanıcısıyım ama her hizmette benzersiz bir e-posta adresim olduğu için orada değilim”

Her ne kadar kazınmış verilerin çoğu kamuya açık olsa da, siber suçlulara daha fazla bilgiyi belirli bir e-posta adresi veya isimle ilişkilendirmeleri için bir şans daha veriyor. Etkilenen kullanıcılar, bu bilgileri kullanan kimlik avı e-postalarına karşı dikkatli olmalıdır. Örneğin, belirli bir dile ilgi duyduğunuz için, sizi o dilin konuşulduğu bir ülkeyi ziyaret etmeye davet eden bir e-postaya kanma olasılığınız daha yüksek olabilir.

Veri ihlali

Bir veri ihlalinin kurbanıysanız veya mağdur olduğunuzdan şüpheleniyorsanız gerçekleştirebileceğiniz bazı eylemler vardır.

  • Satıcının tavsiyelerini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyelere uyun.
  • Şifreni değiştir. Çalınan bir şifreyi değiştirerek hırsızların işine yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için bir şifre seçmesine izin verin.
  • İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Yapabiliyorsanız ikinci faktör olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, parola kadar kolay bir şekilde kimlik avına tabi tutulabilir. FIDO2 cihazına dayanan 2FA’ya kimlik avı yapılamaz.
  • Sahte satıcılara dikkat edin. Hırsızlar satıcı kılığına girerek sizinle iletişime geçebilir. Kurbanlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve farklı bir iletişim kanalı kullanarak herhangi bir kişiyi doğrulayın.
  • Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.

Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.

ŞİMDİ DENE





Source link