Duolingo’nun herhangi bir veri ihlaline maruz kalmadığını belirtmekte fayda var; veri sızıntısı, genel API’nin kötüye kullanılması yoluyla web kazımasının bir sonucuydu.
ÖNEMLİ BULGULAR
- Kapsamlı Kullanıcı Etkisi: İhlal, 2,6 milyondan fazla kişinin kişisel verilerinin açığa çıkmasıyla önemli bir kullanıcı tabanını etkiliyor.
- Kapsamlı Veri Seti: Ele geçirilen bilgiler arasında kullanıcı adları, tam adlar, e-posta adresleri, ülkeler, dil kursu abonelikleri ve hesap oluşturma tarihleri gibi çeşitli ayrıntılar yer alıyor.
- Savunmasız API İstismarı: İhlalin, halka açık bir API’nin kullanılması yoluyla gerçekleştirilmesi, kamuya açık arayüzlerin oluşturduğu potansiyel risklerin altını çiziyor.
- Verilerin Kötüye Kullanımıyla İlgili Endişeler: Açığa çıkan verilerin genişliği, kimlik hırsızlığı, kimlik avı ve etkilenen kullanıcıları hedef alan siber suçlar da dahil olmak üzere potansiyel suiistimallere ilişkin endişeleri artırıyor.
- Artan Gizlilik Riskleri: Açığa çıkan hassas verilerin derinliği nedeniyle kullanıcıların gizliliğinin tehlikede olması, kişisel bilgilerin korunmasında sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Bir bilgisayar korsanı yakın zamanda popüler dil öğrenme platformu Duolingo’nun yaklaşık 2,6 milyon kullanıcısının kişisel bilgilerini ifşa etti. Bilgisayar korsanlarının bir kuruluşun sunucularına sızdığı geleneksel veri ihlalinin aksine, bu olay, genel bir API’nin kötüye kullanılmasını içeriyordu.
Aynı zamanda İhlal Forumlarında moderatör olarak da görev yapan bilgisayar korsanı, Ocak 2023’te kullanıcı verilerini ele geçirmeyi başardı ve bu, çok sayıda Duolingo kullanıcısının hesapla ilgili ayrıntılarının açığa çıkmasına yol açtı.
Erişilebilir ve ilgi çekici dil kurslarıyla tanınan Duolingo, olaya hazırlıksız yakalandı. İhlal, Duolingo’nun sunucularına veya altyapısına doğrudan bir saldırıdan kaynaklanmasa da, tehdit aktörlerinin yarattığı düşmanca ve belirsiz bir ortamda kuruluşların kullanıcı bilgilerini koruma konusunda karşılaştığı karmaşık zorlukları vurguluyor.
Sızan Veriler
Hackread.com açığa çıkan verileri inceleyip analiz ederek içeriğine ışık tuttu. Veri seti şaşırtıcı bir şekilde 2.658.787 kullanıcının kişisel bilgilerini kapsıyor. Bu kapsamlı koleksiyon aşağıdakiler gibi kritik ayrıntıları içerir:
- Tam isimler
- Kullanıcı adları
- E-mail adresleri
- Menşe ülkeler
- Hesap oluşturmanın kesin tarihleri
- Kullanıcıların abone olduğu dil kursları
Özellikle, kamuya açıklanmadan önce başka bir tehdit aktörünün aynı veri setini 1500 dolara satmaya kalkışmasıyla ihlalin ciddiyeti daha da arttı. Verilerin hacker forumlarında ve Telegram kanallarında açığa çıkması, kullanıcı gizliliği ve açığa çıkan bilgilerin potansiyel olarak kötüye kullanılmasıyla ilgili endişeleri daha da artırdı.
Duolingo, ihlale yanıt olarak durumu özenle araştırıyor ve kullanıcı verilerinin güvenliğini sağlama çabalarını yoğunlaştırdı. Olay, genellikle verilere açık kapılar olarak kabul edilen API’lerin daha fazla dikkat gerektirdiği bir çağda kullanıcı bilgilerinin korunmasına ilişkin tartışmaları harekete geçirdi.
Kişisel verilerin paha biçilemez bir para birimi olduğu bir ortamda, Duolingo veri kazıma, bilgisayar korsanlarının sürekli gelişen yöntemlerinin ve kuruluşların siber tehditlere karşı dirençli kalma konusundaki acil ihtiyacının bir kanıtı olarak duruyor.
Kullanıcılar Duolingo’nun soruşturmasının sonucunu beklerken olay, dijital güvenliği sürdürme ve kullanıcı verilerinin yanlış ellere geçmesini önleme konusundaki kolektif sorumluluğun altını çiziyor.
ALAKALI HABERLER
- Bilgisayar korsanları 87.000 GETTR kullanıcısının kazınmış verilerini sızdırdı
- Bir bilgisayar korsanı 700 milyon LinkedIn kullanıcısının hesabını satıyor
- Facebook, Chrome için veri kazıma uzantılarının geliştiricisine dava açtı
- Facebook, 178 milyon kullanıcının verilerini kazıyıp sattığı için Ukraynalıya dava açtı
- Veri kazıma firması 235 milyon Insta, TikTok, YouTube kullanıcı kaydını sızdırdı