260万Duolingo用户数据在暗网泄露

事件概述

2023年8月22日，一名恶意攻击者在暗网黑客论坛上出售语言学习应用Duolingo超过260万用户的爬取数据，要价1500美元。攻击者声称通过公开应用程序接口（API）获取了这些数据，并提供了1000个账户的数据样本以证明其真实性。

数据泄露详情

Duolingo向新闻网站TheRecord确认，这些数据是从公开资料信息中爬取的。暴露的数据包括用户姓名、用户名、电子邮箱地址以及与Duolingo服务相关的其他信息。需要特别注意的是，电子邮箱地址在Duolingo上并非公开信息。

官方回应

一位Duolingo发言人就此次网络安全事件表示：“没有发生数据泄露或黑客攻击。我们严肃对待数据隐私和安全，正在继续调查此事，以确定是否需要采取进一步措施保护我们的学习者。”

该发言人在9月1日向Cyber Security Hub提供了最新情况：“我们的调查确认这不是一次入侵或黑客攻击，而是对Duolingo公开资料的数据爬取。没有Duolingo系统或用户私有数据遭到破坏。尽管如此，作为预防措施，我们已经采取了一些步骤以防止此类事件再次发生。”

技术背景

暴露的API自2023年3月起已成为公开信息。该API允许任何人通过输入用户名来检索任何Duolingo公开资料信息。网络安全新闻网站BleepingComputer确认，尽管Duolingo在2023年1月就已收到该API开放的警报，但直到2023年8月该API仍然保持开放状态。这一情况最初是因为有恶意攻击者试图在现已关闭的黑客论坛Breached上出售这些数据。

安全措施

Duolingo表示：“我们已对特定API端点实施了速率限制，使攻击者更难滥用该接口。我们严肃对待数据隐私和安全，并将持续评估我们的安全措施以确保学习者安全。”

广告