Você usa ou já usou o Duolingo para aprender um idioma novo? Se sim, eu recomendo que leia essa notícia com atenção. Dados de 2,6 milhões de usuários do Duolingo, o maior aplicativo de ensino de idiomas, foram expostos em um fórum cibercriminoso. O vazamento inclui informações sensíveis como nomes, logins, e-mails, país e outros dados relacionados ao uso da plataforma.
Leia também
Brasil é o terceiro país mais afetado em vazamento de dados do ChatGPT
Facebook é condenado a indenizar 8 milhões de brasileiros por vazamento de dados
Como os dados foram vazados
O incidente ocorreu após a exploração de uma vulnerabilidade em uma API, descoberta por especialistas em segurança em março deste ano. Essa API permitiu a raspagem de dados, compilando as informações mencionadas acima.
É bem verdade que as informações vazadas são públicas. Qualquer pessoa pode vê-las individualmente nos perfis dos usuários do Duolingo. Mas estamos falando aqui de um “pacote” com todos esses dados compilados. Ou seja, para um hacker é muito mais atrativo usar uma lista como essa para tentar ataques dos mais variados tipos.
Inicialmente, o conjunto de informações foi colocado à venda em um fórum cibercriminoso por US$ 1.500. No “anúncio” dos dados, o cibercriminoso diz que está disposto a negociar o preço. Não se sabe se as vendas foram concretizadas.
“Estou vendendo 2,6 milhões de entradas de contas do Duolingo, que foram raspadas a partir de uma API exposta. O preço inicial é de US$ 1.500, mas pode ser negociado.
Os dados contêm os seguintes campos:
Abaixo está uma amostra de 1.000 contas para vocês darem uma olhada. Se estiver interessado em comprar, entre em contato comigo por uma das plataformas indicadas abaixo deste post.”
Duolingo admite vazamento mas minimiza danos
O Duolingo confirmou que o volume corresponde às informações de seus usuários, mas enfatizou que essas informações seriam públicas. No entanto, vale ressaltar que os e-mails dos usuários, que foram cruzados com as contas na plataforma a partir de outros vazamentos de informação, não são públicos.
Essa combinação de dados públicos com privados aumenta o risco de ataques de phishing, permitindo que os cibercriminosos criem contatos fraudulentos mais convincentes.
Além disso, registros relacionados às permissões dos usuários nos sistemas do Duolingo foram encontrados, possibilitando a identificação de contas que podem pertencer a professores, moderadores, administradores ou funcionários da empresa, tornando-as mais “interessantes” aos criminosos.
Brecha de segurança continua disponível
A API usada para a raspagem de dados ainda permanece vulnerável, o que aumenta a preocupação com a possibilidade de coleta de dados futura. O site Have I Been Pwned incluiu o volume vazado do serviço de idiomas em seu banco de dados, permitindo que os usuários verifiquem se suas informações foram comprometidas.
Para evitar ataques após a raspagem de dados, especialistas recomendam manter a atenção a e-mails fraudulentos e contatos suspeitos, não clicar em links nem baixar arquivos anexos que cheguem por e-mail ou mensagem direta, e manter antivírus e aplicativos de segurança instalados.
Além disso, o uso de autenticação em duas etapas junto de senhas seguras é uma medida adicional de proteção.
Fonte: Bleeping Computer
Veja também
Sobre o Autor
Deixe seu comentário