Duolingo, la rinomata piattaforma social per l’apprendimento delle lingue straniere, si trova al centro di una preoccupante fuga di dati, che ha esposto informazioni personali e sensibili di oltre 2,6 milioni di utenti. Il breach è stato rivelato dopo che i dati sono stati scoperti già in vendita su un forum di hacking, sollevando seri timori riguardo alla sicurezza degli utenti.
Indice degli argomenti
In vendita oltre 2 milioni di dati utente di Duolingo
In particolare, Duolingo ha subito un attacco di scraping alle proprie API già nel mese di gennaio 2023, quando dati provenienti da 2,6 milioni di profili sono stati messi in vendita su un forum di hacking chiamato “Breached”. Questi dati comprendono una combinazione di nomi utente, nomi reali, e-mail e informazioni interne relative al servizio Duolingo.
Un elemento particolarmente preoccupante è la presenza di indirizzi e-mail all’interno dei dati trapelati. Mentre i nomi utente e i nomi reali possono essere parte del profilo pubblico di un utente su Duolingo, gli indirizzi e-mail rappresentano un rischio significativo. Questi indirizzi possono essere sfruttati dagli autori delle minacce per condurre attacchi di phishing mirati, mettendo gli utenti a rischio di perdita di dati sensibili e accesso non autorizzato al proprio profilo.
Come è avvenuto l’attacco di scraping?
È emerso che i dati sono stati raccolti attraverso una vulnerabilità nelle API di Duolingo, che li esponeva al rischio, la quale è stata condivisa pubblicamente a partire da marzo 2023. Ricercatori avevano precedentemente condiviso informazioni su come utilizzare questa API attraverso social media e documenti pubblici. Tale API permetteva agli utenti di inviare un nome utente valida e ottenere in risposta un output JSON contenente le informazioni pubbliche associate a quell’utente.
Tuttavia, è stato scoperto che era anche possibile inserire come input un indirizzo e-mail nell’API per verificare se fosse associato a un account Duolingo valido, la risposta che si otteneva era identica, venivano restituite le informazioni complete dell’account.
La piattaforma di apprendimento linguistico ha confermato che i dati sono stati prelevati dalle informazioni del profilo pubblico degli utenti. Tuttavia, non è stato dettagliato un commento riguardo la questione degli indirizzi e-mail che sono risultati parte dei dati trapelati.
È dunque plausibile che gli attori malevoli siano partiti da un elenco di e-mail in loro possesso, da presentare come input alle API di Duolingo, ricavando così una totalità di informazioni su tutti quegli utenti che con tale email risultavano iscritti alla piattaforma.
Attualmente, infatti, il set di dati contenente le informazioni di 2,6 milioni di utenti è stato rilasciato nuovamente su una nuova versione del forum di hacking “Breached” a un prezzo incredibilmente basso di soli 8 crediti, corrispondenti a circa 2,13 dollari.
Cosa impariamo dalla fuga di dati a Duolingo
La lezione da trarre da questa vicenda è chiara: anche i dati pubblici, quando combinati con informazioni private, possono creare rischi significativi per la sicurezza. Caso emblematico, come ricorda Bleeping Computer, è la recente multa inflitta a Facebook, che nel 2021 ha subito una fuga di dati in seguito all’utilizzo di un bug API, mettendo a rischio la privacy di 533 milioni di utenti.
La domanda che ora sorge spontanea è: come eviterà Duolingo futuri incidenti di questo genere?
Nonostante l’azienda stia valutando ulteriori misure di sicurezza, l’API utilizzata per la raccolta dei dati è ancora accessibile pubblicamente sul web, dimostrando la complessità di bilanciare l’accesso aperto alle informazioni e la sicurezza dei dati personali.
