Borítókép forrás: BleepingComputer
Mintegy 2,6 millió Duolingo felhasználó adata szivárgott ki egy hacker fórumon, amit fenyegetési szereplők felhasználhatnak célzott adathalász támadásokhoz.
A Duolingo egy ingyenes, nyelvtanulást segítő weboldal (és mobil operációs rendszerekre elérhető applikáció), ami világszerte pedig több, mint 74 millió havi felhasználóval rendelkezik.
Mi történt?
2023 januárjában 1500 dollárért eladásra kínálták fel a Duolingo 2,6 millió felhasználójának feltört adatait a nemrég leállított Breached hackerfórumon. Az adatok között a platform használóinak publikus adatai (például a felhasználó- és valódi nevük) mellett nem nyilvános információk is megtalálhatóak, mint például a Duilngo regisztrációkor megadott e-mail cím.
Ez azért problémás, mert ezekkel az információkkal már egy alacsony technikai felkészültségű támadó is képes lehet meggyőző adathalász támadást indítani.
Az eset kapcsán persze adódik a kérdés: hogyan fértek hozzá ezekhez az adatokhoz illetéktelenek? A válasz erre az, hogy minden valószínűség szerint az adatokat egy olyan alkalmazásprogramozási interfész (API) segítségével szerezték meg, amely 2023 márciusa óta publikusan elérhető bárki számára ─ sőt nyilvánosan dokumentált, hogy hogyan lehet kihasználni.
Az API-val gyakorlatilag bárki lekérheti a felhasználók nyilvános profiladatait a felhasználónév megadásával, illetve mint kiderült, sajnos az API arra is lehetőséget ad, hogy egy e-mail cím beküldésével ki lehessen deríteni, hogy az adott e-maillel regisztráltak-e Duolingo fiókot.
BleepingComputer információi szerint ez az API továbbra is nyíltan elérhető a weben, hiába jelentették a visszaélést hónapokkal ezelőtt a Duolingónak.
Lehet, hogy az én fiókom is érintett? Hol tudom ellenőrizni?
A Have I Been Pwned projekt hozzáadta az adatbázisához a kiszivárgott 2,6 millió, a Duolingo alkalmazástól ellopott adatot, ezáltal az e-mail címünk beírásával ellenőrizhetjük, hogy a mi adataink kompromittálódtak-e.
New scraped data: Duolingo had 2.6M records scraped from a vulnerable API earlier this year and posted to a hacking forum today. Data included name, email, username and learning progress. 100% were already in @haveibeenpwned. Read more: https://t.co/fR3d9rPody
— Have I Been Pwned (@haveibeenpwned) August 23, 2023
A Have I Been Pwned? egy angol nyelvű weboldal, amellyel ellenőrizhetjük, hogy e-mail címünk érintett-e néhány „hírhedtebb” adatszivárgási incidensben. Az oldal természetesen nem teljes, azonban érdemes időközönként keresést végezni rajta vagy akár kérhetünk automata figyelmeztetést is az e-mail címünkre.
Néhány tipp
A nem kritikus és nem hivatalos ügyintézésre használt regisztrációk esetén (például okostelefonos játék alkalmazások) javasolt a lehető legkevesebb személyes információt megadni, emellett érdemes ún. „eldobható” e-mail címeket használni a regisztrációra.
Jó módszer az is, ha készítünk egy e-mail fiókot, amit kimondottan weboldal-regisztrációkra használunk, azért hogy ne a személyes vagy a hivatalos ügyintézéshez használt e-mail címünkre érkezzenek a kéretlen levelek.
Munkahelyi e-mail címmel sose regisztráljunk munkával nem összefüggő szolgáltatásra!
