暗网出现260万Duolingo用户数据

本次报道于2023年9月4日更新，以反映Duolingo就网络安全事件提供的最新情况。

语言学习应用Duolingo超过260万用户的爬取数据已被发布至暗网黑客论坛。

8月22日，一名恶意攻击者在暗网黑客论坛上出售这些信息。该攻击者以1500美元的价格出售全部260万条记录。黑客声称通过爬取和暴露的应用程序接口（API）获取了这些数据，并通过提供1000个账户的数据样本证实了数据的真实性。

Duolingo向新闻网站TheRecord确认，这些数据是从公开资料信息中爬取的。泄露的数据包括用户姓名、用户名、电子邮箱地址以及与Duolingo服务相关的其他信息。但需注意的是，电子邮箱地址在Duolingo上并非公开信息。

Duolingo发言人就此次网络安全事件表示：“并未发生数据泄露或黑客入侵事件。我们高度重视数据隐私与安全，正在持续调查此事，以确定是否需要采取进一步措施保护学习者。”

暴露的API与安全响应

该暴露的API自2023年3月起已成为公开信息。它允许任何人通过输入用户名获取任何Duolingo公开资料信息。网络安全新闻网站BleepingComputer确认，尽管Duolingo在2023年1月已获知该API处于开放状态，但截至2023年8月该接口仍未关闭。此前曾有恶意攻击者试图在已关闭的黑客论坛Breached上出售该API权限。

9月1日，Duolingo发言人向Cyber Security Hub提供了最新进展：“我们的调查确认这并非系统入侵或黑客攻击，而是对Duolingo公开资料的数据爬取。没有任何Duolingo系统或用户私有数据遭到破坏。尽管如此，作为预防措施，我们已采取步骤防止此类事件再次发生。

“我们已对该特定API端点实施速率限制，增加攻击者滥用难度。我们严肃对待数据隐私与安全，并将持续评估安全措施以确保学习者安全。”