Datos raspados de 2.6 millones de usuarios de Duolingo publicados en un foro de hackers

-



Los datos raspados de 2.6 millones de usuarios de DuoLingo se filtraron en un foro de hackers, permitiendo a los actores de amenazas llevar a cabo ataques de phishing dirigidos utilizando la información expuesta.

Duolingo es uno de los sitios de aprendizaje de idiomas más grandes del mundo, con más de 74 millones de usuarios mensuales en todo el mundo.

En enero de 2023, alguien vendía los datos raspados de 2.6 millones de usuarios de DuoLingo en el foro de hackers Breached, ahora cerrado, por $1,500.

Estos datos incluyen una combinación de nombres de inicio de sesión públicos y nombres reales, e información no pública, incluyendo direcciones de correo electrónico e información interna relacionada con el servicio DuoLingo.

Aunque el nombre real y el nombre de inicio de sesión están disponibles públicamente como parte del perfil de un usuario de Duolingo, las direcciones de correo electrónico son más preocupantes ya que permiten que estos datos públicos se utilicen en ataques.

Datos raspados de Duolingo en venta en un foro de hackers
Fuente: Falcon Feeds

Cuando los datos estaban a la venta, DuoLingo confirmó a TheRecord que se raspó de la información del perfil público y que estaban investigando si se debían tomar precauciones adicionales.

Sin embargo, Duolingo no abordó el hecho de que las direcciones de correo electrónico también estaban listadas en los datos, lo cual no es información pública.

Como lo detectó por primera vez VX-Underground, el conjunto de datos raspados de 2.6 millones de usuarios se publicó ayer en una nueva versión del foro de hackers Breached por 8 créditos del sitio, valorados en solo $2.13.

"Hoy he subido el raspado de Duolingo para que lo descargues, ¡gracias por leer y disfrutar!", se lee en una publicación del foro de hackers.

Estos datos se raspaban utilizando una interfaz de programación de aplicaciones (API) expuesta que se ha compartido abiertamente desde al menos marzo de 2023, con investigadores tuiteando y documentando públicamente cómo usar la API.

La API permite a cualquiera enviar un nombre de usuario y recibir una salida JSON que contiene la información del perfil público del usuario. Sin embargo, también es posible introducir una dirección de correo electrónico en la API y confirmar si está asociada con una cuenta válida de DuoLingo.

BleepingComputer ha confirmado que esta API todavía está abiertamente disponible para cualquiera en la web, incluso después de que su abuso fue reportado a DuoLingo en enero.

Esta API permitió al raspador introducir millones de direcciones de correo electrónico, probablemente expuestas en filtraciones de datos anteriores, en la API y confirmar si pertenecían a cuentas de DuoLingo. Estas direcciones de correo electrónico se utilizaron luego para crear el conjunto de datos que contiene información pública y no pública.

Otro actor de amenazas compartió su propio raspado de la API, señalando que los actores de amenazas que deseen utilizar los datos en ataques de phishing deben prestar atención a campos específicos que indican que un usuario de DuoLingo tiene más permisos que un usuario regular y, por lo tanto, son objetivos más valiosos.

BleepingComputer ha contactado a DuoLingo con preguntas sobre por qué la API todavía está públicamente disponible, pero no recibió una respuesta en el momento de esta publicación.

Datos raspados regularmente desestimados
Las empresas tienden a desestimar los datos raspados como si no fueran un problema, ya que la mayoría de los datos ya son públicos, aunque no necesariamente fáciles de compilar.

Sin embargo, cuando los datos públicos se mezclan con datos privados, como números de teléfono y direcciones de correo electrónico, tiende a hacer que la información expuesta sea más riesgosa y potencialmente viole las leyes de protección de datos.

Por ejemplo, en 2021, Facebook sufrió una filtración masiva después de que un error en la API "Agregar amigo" fue explotado para vincular números de teléfono a cuentas de Facebook de 533 millones de usuarios. La comisión de protección de datos irlandesa (DPC) posteriormente multó a Facebook con €265 millones ($275.5 millones) por esta filtración de datos raspados.

Más recientemente, un error en la API de Twitter se utilizó para raspar los datos públicos y las direcciones de correo electrónico de millones de usuarios, lo que llevó a una investigación por parte del DPC.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más