2,6 Milyondan Fazla DuoLingo Kullanıcısının Bilgisi Hacker Forumunda Açığa Çıktı

Popüler dil öğrenme platformu, bir bilgisayar korsanının forumunda yalnızca 1.500 dolar karşılığında 2,6 milyon müşteri hesabındaki bilgilere erişim sağlayan bir gönderi nedeniyle inceleme altına alındı.

Duolingo, öğrenme uygulamaları üreten ve dil sertifikası sağlayan bir Amerikan eğitim teknolojisi şirketidir.

Salı sabahı oluşturulan hack forum gönderisi, e-postalar, telefon numaraları, alınan kurslar ve kullanımla ilgili diğer bilgileri bir ücret karşılığında içeren hassas müşteri hesabı ayrıntılarını sunduğu için DuoLingo’nun dikkatini çekti.

Şirketin bir sözcüsü Record’a, bu kayıtların kamuya açık profil bilgilerinin kazınması yoluyla toplandığını belirterek, herhangi bir veri ihlali veya hack olayının meydana gelmediğini vurguladı.

“Herhangi bir veri ihlali veya hacklenme yaşanmadı. Veri gizliliğini ve güvenliğini ciddiye alıyoruz ve öğrencilerimizi korumak için başka bir eyleme gerek olup olmadığını belirlemek için bu konuyu araştırmaya devam ediyoruz.”

DuoLingo ekibi, kullanıcılarının güvenliğini sağlamak için daha fazla koruyucu eylem ihtiyacını değerlendirmek amacıyla konuyu aktif olarak araştırıyor.

Veri Kazımanın Kökenleri

Veri kazıma veya web kazıma, web sitelerinden ve çevrimiçi platformlardan otomatik veri çıkarmayı içerir.

Kamuya açık bilgilerin kazınması yaygın olsa da, hassas ve özel verilerin tehlikeye atılması sorunlu hale geliyor.

Bu durumda, bilgisayar korsanı, bilgileri açığa çıkan bir Uygulama Programlama Arayüzünden (API) yararlanarak elde ettiğini iddia etti.

Bir Tehdit Aktörü Duolingo API’sinde bir hata tespit etti. API’ye geçerli bir e-posta göndermek, kullanıcıya ilişkin genel hesap bilgilerini (isim, e-posta, çalışılan diller) döndürür.

2,6 milyondan fazla benzersiz girişi bir araya getirmek için bir e-posta listesi kullandılar.

Bu, doxxing için kullanılacaktır.

— vx-underground (@vxunderground) 21 Ağustos 2023

Bilgisayar korsanı ayrıca 1000 hesaptan örnek bir veri kümesi paylaşarak yasa dışı başarısını da sergiledi.

Web Kazımanın Yaygın Doğası

DuoLingo olayı dünya çapındaki teknoloji şirketlerinin karşılaştığı yaygın bir sorunu vurguluyor.

API’leri kazımak için çok sayıda araç ve teknik mevcut olup, bireylerin web sitelerinden büyük miktarda veri toplamasına olanak tanır.

Çoğu zaman, bu veriler herkesin erişimine açıktır, ancak diğer sitelere bağlantılar yoluyla erişilebildiği ve hassas bilgilerin yanlışlıkla riske atıldığı durumlar da vardır.

Teknoloji devleri de web kazımaya karşı savunmasızdır. Meta (önceki adıyla Facebook), kullanıcı verilerini kazımak amacıyla Instagram ve Facebook’ta sahte hesaplar oluşturduğu için bir gözetim hizmetine karşı dava açtı.

Benzer şekilde, 2021’de Facebook, Messenger uygulamasındaki kişileri içe aktarma özelliğini kullanarak 178 milyondan fazla Facebook kullanıcısının verilerini toplayan bir kişiye dava açtı.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.