DuoLingo Kullanıcı Verileri Sızdırıldı

2.6 milyon DuoLingo kullanıcısının çekilmiş verileri, bir hacker forumunda sızdırıldı ve tehdit aktörlerinin bu bilgileri kullanarak hedefe yönelik kimlik avı saldırıları düzenlemesine olanak sağladı.

Duolingo nedir?

Duolingo, dünya genelinde aylık 74 milyondan fazla kullanıcısıyla en büyük dil öğrenme sitelerinden biridir.

Ocak 2023’te, birisi 2.6 milyon DuoLingo kullanıcısının çekilmiş verilerini, şimdi kapanmış olan Breached hacker forumunda 1,500 dolara satıyordu.

Bu veriler, kullanıcının public login ve gerçek adları ile birlikte, email adresleri ve DuoLingo hizmetine ilişkin içsel bilgiler gibi non-public bilgileri içerir.

Gerçek ad ve login adı kullanıcının DuoLingo profilinin bir parçası olarak kamuya açıktır, ancak email adresleri daha fazla endişe kaynağıdır çünkü bu kamuya açık veri saldırılarda kullanılabilir.

Verinin satışa çıktığı zaman, DuoLingo, verilerin kamusal profil bilgilerinden çekildiğini doğrulayarak, daha fazla önlem alınıp alınmaması konusunda soruşturma yürüttüklerini TheRecord’a belirtti.

Ancak Duolingo, email adreslerinin de veride yer aldığı gerçeğiyle ilgilenmedi, ki bu kamusal bilgi değildir.

İlk olarak VX-Underground tarafından fark edilen 2.6 milyon kullanıcı verisi seti, sadece 8 site kredisine denk gelen 2.13 dolara yeni bir sürümüyle Breached hacker forumunda dün paylaşıldı.

“Hoşunuza gittiğini umarak Duolingo Verisini paylaştım, okuduğunuz için teşekkürler ve keyfini çıkarın!” şeklinde bir hacker forumunda bir yayında okunuyor.

Bu veriler, en azından Mart 2023’ten beri açıkça paylaşılan bir uygulama programlama arayüzü (API) kullanılarak çekildi, araştırmacılar API’nin nasıl kullanılacağını tweet atarak ve kamuoyuna açıklayarak belgeledi.

API, herhangi bir kullanıcı adını sunarak kullanıcının kamusal profil bilgilerini içeren JSON çıktısını almayı herkese sağlar. Ancak aynı zamanda bir email adresini API’ye göndermek ve bunun geçerli bir DuoLingo hesabına ait olup olmadığını teyit etmek de mümkündür.

Bu API, çekilmiş olabilecek milyonlarca email adresini API’ye beslemeyi ve bunların DuoLingo hesaplarına ait olup olmadığını onaylamayı sağladı. Bu email adresleri daha sonra, kamusal ve kamusal olmayan bilgileri içeren veri setini oluşturmak için kullanıldı.

Başka bir tehdit aktörü kendi API çekmesini paylaştı ve veriyi kimlik avı saldırılarında kullanmak isteyen tehdit aktörlerinin, bir DuoLingo kullanıcısının normal bir kullanıcıdan daha fazla izne sahip olduğunu belirten belirli alanlara dikkat etmeleri gerektiğini belirtti.

Çekilmiş veriler genellikle göz ardı ediliyor
Şirketler, çekilmiş verilerin genellikle zaten kamusal olduğunu ve bunun zor da olsa derlenebileceğini gerekçe göstererek önemsememe eğilimindedir.

Ancak kamusal verinin telefon numaraları ve email adresleri gibi özel verilerle karıştığı durumlar, maruz kalan bilgileri daha riskli hale getirir ve potansiyel olarak veri koruma yasalarını ihlal edebilir.

Örneğin, 2021 yılında, bir “Arkadaş Ekle” API hatası, 533 milyon kullanıcının telefon numaralarını Facebook hesaplarına bağlamak için kötüye kullanıldı ve bu olay sonucunda Facebook’a İrlanda veri koruma komisyonu (DPC) tarafından 265 milyon avro (275.5 milyon dolar) ceza kesildi.

Daha yakın tarihli bir örnekte, bir Twitter API hatası, milyonlarca kullanıcının kamusal verilerini ve email adreslerini çekmek için kullanıldı ve bu durum, İrlanda veri koruma komisyonu (dpc) tarafından bir soruşturma başlatılmasına neden oldu.

kaynak: BleepingComputer

Yorum yapın