Em um incidente alarmante de cibersegurança, dados de 2,6 milhões de usuários do Duolingo foram vazados em um fórum usado por hackers, possibilitando que agentes maliciosos conduzam ataques de phishing direcionados usando as informações expostas.

Embora o nome real e o nome de login estejam publicamente disponíveis como parte do perfil do usuário no Duolingo, os endereços de e-mail são mais preocupantes, uma vez que permitem que esses dados públicos sejam usados em ataques.

Quando os dados estavam à venda, o Duolingo confirmou ao TheRecord que eles haviam sido coletados de informações públicas de perfil e que estavam investigando se precauções adicionais deveriam ser tomadas. No entanto, o Duolingo não abordou o fato de que endereços de e-mail também estavam listados nos dados, o que não é informação pública.

Como observado primeiramente pelo VX-Underground, o conjunto de dados de 2,6 milhões de usuários vazados foi disponibilizado nesta segunda-feira em uma nova versão do fórum usado por hackers Breached, pelo equivalente a 8 créditos no site, totalizando apenas US$ 2,13.

“Hoje eu fiz o upload do vazamento do Duolingo para você baixar, obrigado por ler e aproveite!”, diz uma postagem no fórum.

Como ocorreu o vazamento de dados do Duolingo?

Esses dados foram obtidos por meio de uma interface de programação de aplicativos (API) exposta, que tem sido compartilhada abertamente desde pelo menos março de 2023, com pesquisadores tuitando e documentando publicamente como usar a API.

A API permite que qualquer pessoa envie um nome de usuário e obtenha como saída um arquivo JSON contendo informações públicas do perfil do usuário. No entanto, também é possível inserir um endereço de e-mail na API e confirmar se ele está associado a uma conta válida do Duolingo.

O BleepingComputer confirmou que esta API ainda está abertamente disponível para qualquer pessoa na web, mesmo após seu mau uso ter sido reportado ao Duolingo em janeiro.

Essa API permitiu ao invasor inserir milhões de endereços de e-mail, provavelmente obtidos em vazamentos de dados anteriores, na API e confirmar se eles pertenciam a contas do Duolingo. Esses endereços de e-mail foram então usados para criar o conjunto de dados contendo informações públicas e não públicas.

Outro agente malicioso compartilhou sua própria coleta de dados da API, indicando que aqueles que desejam usar os dados em ataques de phishing deveriam prestar atenção em campos específicos que indicam que um usuário do Duolingo possui mais permissões do que um usuário regular e, portanto, são alvos mais valiosos.

O BleepingComputer contatou o Duolingo com perguntas sobre por que a API ainda está publicamente disponível, mas não recebeu resposta.

Dados vazados rotineiramente desconsiderados

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!