260 万 Duolingo 用户的数据在黑客论坛泄露,担心一些人利用此暴露的信息进行有针对性的钓鱼攻击。Duolingo 作为全球其中一个最大的语言学习网站,每月拥有超过 7,400 万的全球用户。
包括真名、用户名、电邮
在 2023 年 1 月,有人在现已关闭的 Breached 黑客论坛上以 1,500 美元的价格出售 2.6 百万 Duolingo 用户的撷取数据。
此数据包括公开登录名和真实名称的组合,以及包括电子邮件地址和与 Duolingo 服务相关的内部信息。虽然真实名称和登录名称作为用户的 Duolingo 资料的一部分是公开的,但电子邮件地址更令人担心,因为它们允许公开数据被用於攻击。
资料只售 2 美元?
Duolingo 向 TheRecord 确认它是从公开资料信息中撷取的,并表示正在调查是否应采取进一步的预防措施。然而,Duolingo 并未解释数据中还列出了电子邮件地址,这些不是公开信息。VX-Underground 昨天在 Breached 黑客论坛的新版本上以仅需 2.13 美元(8 个网站积分)发布。
API 漏洞导致
这些数据是自 2023 年 3 月以来,使用暴露的 API 掫取的,并且自那时以来一直公开分享,研究人员在 Twitter 上发文并公开记述如何使用该 API。该 API 允许任何人提交用户名并检索包含用户的公开资料信息的 JSON 输出。另外,也可以通过 API 将电子邮件地址「喂进去」,并确认它是否与有效的 Duolingo 帐户相关联。