Ocak 2023’te artık kullanılmayan bir hacker forumu olan Breached’de saldırıya uğrayan ve satışa bırakılan Duolingo kullanıcı verileri, şimdi başka bir hacker forumunda halka açık olarak yayınlandı. O dönemde Amerikan dil öğrenme uygulaması medyaya Duolingo siber saldırısını araştırdığını doğrulamıştı. Ancak 2,6 milyon kullanıcının isimleri, e-postaları ve diğer verileriyle birlikte Duolingo veri sızıntısı, kullanıcılar için büyük bir gizlilik endişesi haline geldi.
Duolingo veri sızıntısı ve satışı
Güvenlik araştırmacıları Ocak ayında 2,5 milyon kullanıcıya yönelik Duolingo verilerinin 1.500 $ başlangıç fiyatıyla satıldığını bildirdi. Kullanıcı adı ‘House’ olan satıcı, 24 Ocak 2023 tarihli bir dark web gönderisinde, “Açık bir API’den alınan 2,6 milyon Duolingo hesap girişini satıyorum” diye yazdı.
Bilgi işlemde veri hurdaya çıkarma, bilgilerin bir web sitesinden elektronik tablolara veya diğer dosyalara aktarılmasını içerir. Bu, yazılım uygulamaları kullanılarak otomatik hale getirilebilir ve genellikle şirketler tarafından, diğer amaçların yanı sıra pazarlama ve kullanıcıların kaydını tutmak için kullanıcı verilerini almak amacıyla yapılır.
House aşağıdaki Duolingo kullanıcı verilerini satışa çıkardığını iddia etti:
- E-posta
- İsim
- Telefon numarası
- Katılan sınıf kimliği
- Rüzgâr gibi geçmek
- Motivasyon
- Edinme anketi nedeni
- Resim
- Seçilen dil
- Bağlı Facebook Kimliği
- Beta durumu
- Gizlilik ayarları
Bilgisayar korsanı forumu satıcısı, alıcıları ikna etmenin kanıtı olarak 1000 Duolingo hesabının örneklerini yerleştirdi.
Eğitim teknolojisi şirketi Duolingo veri satışı iddialarına nasıl yanıt verdi?
Duolingo’dan bir sözcü The Record’un yorum taleplerine yanıt verdi. “Bu kayıtlar genel profil bilgilerinin silinmesiyle elde edilmiştir… Herhangi bir veri ihlali ya da hack olayı yaşanmamıştır” dediler.
Duolingo veri sızıntısı iddialarını araştırdıklarını doğrularken, veri ihlali yaşadıklarını yalanladılar.
Güncel Güvenlik araştırmacıları Ocak ayında 2,5 milyon kullanıcıya yönelik Duolingo verilerinin 1.500 $ başlangıç fiyatıyla satıldığını bildirdi.
Hacker forumundan House, Duolingo API’sindeki bir güvenlik açığından yararlanıldığından bahsetti. Duolingo güvenlik açığının, bilgisayar korsanının hassas bilgilere erişmesine izin verdiği iddia ediliyor.
“Uzmanlar, tehdit aktörünün sızdırılan bu API e-posta adreslerini beslediğinden şüpheleniyor öncesi “ihlaller”, Laptop Mag’in karanlık ağdaki yeni kullanıcının açığa çıkan API’den nasıl daha fazla kullanıcı verisi elde etmeyi başardığını değerlendiren bir raporunu okudu.
“Daha sonra API muhtemelen e-posta adreslerinin aktif bir Duolingo hesabına bağlı olup olmadığını doğruladı. Sonuç olarak tehdit aktörü, hem kamuya açık hem de kamuya açık olmayan bilgilerin bir karışımını içeren bir Duolingo müşteri veri koleksiyonu oluşturma fırsatına sahip oldu,” diye açıkladı Laptop Mag raporu.
Aynı konu, güvenlik uzmanı Troy Hunt tarafından, bilgilerinin karanlık ağda takip edilip edilmediğini kontrol etmeye olanak tanıyan bir hizmet aracılığıyla da ele alındı.
Aynı şey, Cyble tarafından kişinin karanlık ağdaki bilgilerinin varlığını kontrol etmek için sunulan bir platform olan Am I Breached’de de kontrol edilebilir.
Siber güvenlik hizmeti Vx-underground, Duolingo veri ihlali hakkında tweet attı ve karanlık web kullanıcısının 2,6 milyondan fazla giriş toplamak için bir e-posta adresi listesine eriştiğini yazdı. Tweet, sızdırılan Duolingo verilerinin daha fazla kötüye kullanımını analiz ederek “Bu, kişisel bilgilerin ifşa edilmesi için kullanılacak” şeklinde sonuçlandı.
Doxing veya Doxxing, bir kişinin kişisel bilgilerinin kötü amaçlarla kamuya açık olarak sızdırılmasıdır. Doxing’deki Dox, kamuya açık olarak derlenmeye veya yayınlanmaya yönelik belgeler anlamına gelir.
Veriler bu yılın Ocak ayından bu yana satışta ve Duolingo veri sızıntısı veya satışıyla mücadele etmek için herhangi bir işlem yapılmadığı bildirilmedi.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen dahili ve harici araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.