Rövid időn belül másodjára is több millió Duolingo-felhasználó személyes adata került fel az internetre, a nyelvtanuló applikációt működtető vállalat azonban nem hajlandó különösebben foglalkozni az esettel.
Világszerte több mint 74 millióan használják havi szinten a Duolingót, az egyik legnépszerűbb nyelvtanuló alkalmazást, melynek sikere nem vitatható, a vállalat adatkezelési eljárásai azonban már annál inkább – a Bleeping Computer cikke szerint ugyanis megközelítőleg 2,6 millió felhasználó információihoz férhettek hozzá hackerek az úgynevezett data scrapingnek köszönhetően.
Az adatok még januárban kerültek fel egy mára már bezárt fórumra, melyekért akkor még 1500 dollárt, azaz körülbelül 530 ezer forintot kértek el – a napokban azonban ismét feltűnt az információhalmaz, melyet ezúttal már aprópénzért árultak.
A Bleeping Computer jelentése szerint e-mail címek, felhasználónevek, valódi nevek és a Duolingo szolgáltatásaival kapcsolatos egyéb adatokhoz férhettek hozzá a hackerek.
Az adatokat a lap információi szerint egy 2023 márciusa óta elérhető nyílt API-on keresztül nyerték ki, minek segítségével szinte bárki lekérdezhette a profiladatokat. Ugyan az e-mailcímek nem nyilvánosak, az API-ba betáplálva őket az interfész szinte azonnal vissza tudta jelezni, hogy az adott cím társítva van-e egy Duolingo-fiókhoz. Mindezt persze nem egyesével tették, az ugyanis túl sok időt vett volna igénybe – a hackerek általában más, ugyancsak kiszivárogtatott címhalmazokkal dolgoznak.
A Bleeping Computer megerősítette, hogy az API még mindig nyíltan elérhető bárki számára a weben, még azután is, hogy a visszaélést jelentették a Duolingónak.
A vállalatok egyébként javarészt azért nem foglalkoznak az ilyen és ehhez hasonló data scrapinggel kapcsolatos támadásokkal, mivel a hackerek által kinyerhető adatok többsége más helyekről egyébként nyilvánosan is hozzáférhető – ha azonban ezeket a hackereknek sikerül olyan magánjellegű adatokkal társítaniuk, mint például egy telefonszám, már könnyen bajba kerülhetnek a vállalatok.