Die Sprach-Eule schweigt

Cyberkriminelle nutzen Duolingo-API aus

Uhr
von Calvin Lampert und rja

Über eine offene API der Sprachlern-Plattform Duolingo haben Cyberkriminelle im Januar 2023 teils private Informationen zu 2,6 Millionen Nutzerinnen und Nutzern abgegriffen. Nun haben sie die Daten in einem Hackerforum veröffentlicht. Die API ist scheinbar weiterhin aktiv.

(Source: ilgmyzin / Unsplash)
(Source: ilgmyzin / Unsplash)

Cyberkriminelle haben persönliche Daten von rund 2,6 Millionen Duolingo-Nutzerinnen und Nutzern auf dem Hacking-Forum "Breached" veröffentlicht. Wie "Bleeping Computer" berichtet, wurden die Daten schon im Januar 2023 auf der inzwischen gesperrten Vorgängerversion des Forums zum Kauf angeboten.
Die Sprachlernplattform Duolingo wurde mitbegründet vom Schweizer Computerwissenschaftler Severin Hacker und ist laut "Bleeping Computer" die weltweit grösste Plattform ihrer Art mit über 74 Millionen monatlichen Nutzerinnen und Nutzern. 

Bei den abgegriffenen Daten handle es sich um eine Mischung aus öffentlichen Login-Daten und nicht öffentlichen Informationen wie Mail-Adressen und internen Informationen für Duolingos Service. In einem Statement gegenüber "The Record" teilte Duolingo im Januar 2023 mit, dass man sich des Forumposts und des Lecks bewusst sei. Duolingo sei nicht gehackt worden, sondern die Informationen wurden mittels des Ausschürfens (Scraping) öffentlicher Profildaten erstellt. Man werde untersuchen, ob weitere Sicherheitsvorkehungen getroffen werden müssen, hiess es damals. 

API-Wunde immer noch offen

An die Daten seien die Hacker nach eigenen Angaben durch eine API gelangt. Seit März 2023 sei öffentlich bekannt, wie diese Schnittstelle missbraucht werden könne, heisst es bei "Bleeping Computer". Die API erlaubt es, einen Usernamen anzugeben und im Gegenzug die öffentlichen Informationen zu dem Profil zu erhalten. Zugleich könne man aber auch eine Mailadresse angeben um zu überprüfen, ob sie mit einem gültigen Duolingo-Account verknüpft ist. Laut dem Bericht taten die Hacker mutmasslich genau dies mit E-Mail-Adressen früherer Datenlecks.

"Bleeping Computer" gibt an, dass die API weiterhin öffentlich zugänglich sei, obwohl Duolingo bereits im Januar 2023 über den Missbrauch informiert wurde.
Man habe Duolingo für eine Stellungnahme kontaktiert, bisher ohne Antwort.

Auch hierzulande häufen sich in letzter Zeit die Datenlecks. Erst vor kurzem räumte die Kapo Bern einen Datenabfluss ein, wie sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien

 

 

 

Webcode
rqup5rn9