2,600,000名Duolingo用户的数据在暗网上发布

据称,这些数据是使用开放的应用程序规划接口(API)进行抓取的。

这则新闻故事已于2023年9月4日进行更新,以反映Duolingo就网络安全事件提供的更新信息。

"2,600,000名Duolingo用户的数据在暗网上发布"

超过260万名语言学习应用Duolingo用户的数据已经被发布到暗网的一个黑客论坛上。

这些信息于8月22日由一个恶意行为者在暗网的一个黑客论坛上出售。这名恶意行为者出价1500美元购买全部260万条记录。黑客声称通过抓取和暴露应用程序接口(API)来获取这些数据。他们还通过提供来自1000个帐户的数据样本来确认数据的合法性。

Duolingo向新闻网站TheRecord确认,这些数据是从公开的个人资料信息中抓取的。泄露的数据包括用户的姓名、用户名、电子邮件地址以及与Duolingo服务相关的其他信息。值得注意的是,在Duolingo上,电子邮件地址并不是公开信息。

Duolingo的一位发言人在谈到网络安全事件时表示:“没有发生数据泄露或黑客攻击。我们非常重视数据隐私和安全,并正在继续调查此事,以确定是否需要进一步采取措施来保护我们的学习者。”

该暴露的API自2023年3月以来一直是公开信息。它允许任何人通过输入他们的用户名来检索任何Duolingo个人资料的公开信息。网络安全新闻网站BleepingComputer确认,尽管Duolingo在2023年1月被告知其API是公开的,但该API在2023年8月仍然是公开的。这是因为一名恶意行为者试图在现在已关闭的黑客论坛Breached上出售该API。

截至2023年9月1日,一名Duolingo发言人向Cyber Security Hub提供了以下更新:“我们的调查确认这不是一次数据泄露或黑客攻击;这是对公开Duolingo个人资料的数据抓取。没有Duolingo系统或私人用户数据受到损害。尽管如此,出于预防措施,我们已经采取了一些措施来限制这种情况再次发生。

“我们已经对特定的API端点实施了速率限制,以使攻击者更难滥用。我们非常重视数据隐私和安全,并将继续不断评估我们的安全措施,以确保学习者的安全。”

推荐阅读:

犯罪企业在面向暗网的可怕“诈骗出租”广告中炫耀AI技术

前市长因使用盗刷的信用卡被判入狱33个月

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20