Korzystacie z Duolingo? Dla własnego spokoju zmieńcie hasło. W sieci krąży częściowa baza danych użytkowników popularnej platformy do nauki języków. Choć nie ma tu mowy o wycieku danych czy złamania zabezpieczeń, sprawcy weszli w posiadanie informacji, którą mogą im pomóc w innych atakach.
Duolingo to bez wątpienia jedna z najpopularniejszych aplikacji do nauki języków obcych i nie tylko - jest też matematyka. To świetny start dla tych, którzy z nauką innego języka wcześniej nie mieli styczności lub chcą sobie powtórzyć podstawy. Interfejs aplikacji jest bardzo przejrzysty, a nawigacja po niej to czysta przyjemność. Proces nauki jest podzielony na rozdziały i tematy, te z kolei zawierają w sobie po kilka/kilkanaście lekcji. To idealna appka dla osób, które czują, że muszą popracować nad wymową, gdyż oferuje zestaw ćwiczeń z lektorem. Nie brakuje tu też aspektu społecznościowego, w którym znajomi wspólnie wykonują misję, lub wspinamy się w rankingu na tablicach wyników prześcigając innych użytkowników i zdobywając specjalne odznaki.
Kilka miesięcy temu Duolingo pochwaliło się, że z platformy do nauki języków każdego miesiąca korzysta aktywnie 72,6 mln użytkowników, z czego prawie 5 mln decyduje się na zakup planu Super usuwającego m.in. limity (życia), reklamy i inne ograniczenia, z którymi muszą liczyć się ci, którzy zdecydowali się nie płacić - choć i tu nie ma większego problemu z nauką. Tak pokaźna pula użytkowników do wielka baza danych, która może być smakowitym kąskiem dla hakerów. I tak też niestety się stało.
Jak informuje serwis Malwarebytes, do sieci trafiły informacje o 2,6 mln użytkowników Duolingo. Warto jednak zaznaczyć, że sprawa nie jest nowa. Swój początek miała już na początku roku, gdy na jednym z forów o tematyce hakerskiej pojawiła się oferta sprzedaży danych "uczniów" Duolingo. Kwota ok. 1500 dolarów okazała się zbyt duża i nikt nie wykazał zainteresowania. Teraz, kilka miesięcy później paczka znów powróciła do sprzedaży tym razem za... nieco ponad 2 dolary (niecałe 9 zł).
Dane zostały wyciągnięte z publicznych informacji o profilu za pomocą publicznego API Duolingo. 2 marca analityk Ivano Somaini napisał na Twitterze, w jaki sposób można skorzystać z interfejsu API Duolingo, aby sprawdzić, czy adres e-mail jest powiązany z kontem. Interfejs API umożliwia każdemu uruchomienie zapytania poprzez przesłanie nazwy użytkownika lub adresu e-mail w celu potwierdzenia, czy jest on powiązany z ważnym kontem DuoLingo.
Istotną kwestią jest też to, że dane pozyskane przez "hakerów" nie pochodzą z włamu na serwery Duolingo, czy szkodliwe działanie osób trzecich. Do pozyskania informacji użytkownikach platformy doszło w inny sposób - wystarczyły adresy z innych wycieków, które zostały wykorzystane do porównania z bazą Duolingo. API po podaniu adresu e-mail zwracało informację o powiązanym koncie - i tak powtarzane wiele milionów razy.
Adresy e-mail, nazwy użytkowników oraz języki, których uczymy się na platformie - choć nie pozwolą na łatwe przejęcie konta, mogą być wykorzystywane do rozsyłania spamu lub pomóc w identyfikacji konkretnych użytkowników i określeniu kolejnych serwisów, w których posługujemy się tym samym zestawem adresu/nazwy użytkownika. Niemniej jednak dla bezpieczeństwa warto zmienić hasło do Duolingo - tym bardziej jeśli korzystacie z tego samego hasła w różnych miejscach. Przypominamy, by nie stosować tego typu praktyk.
Co zaskakuje i może jednocześnie bulwersować to fakt, że Duolingo nie zmieniło swojego API - mimo, że firma była informowana o potencjalnych problemach związanych z publicznym dostępem do danych użytkowników. Być może platforma nie uważa tego za zagrożenie - w końcu chodzi tu "zaledwie" o nazwy użytkowników, adresy e-mail i inne dane, które nie są wrażliwe i ich wyciek nie stanowi zagrożenia. Ja bym jednak wolał, gdyby firmy nie udostępniały publicznie rozwiązań, które pozwalają na odczyt jakiejkolwiek informacji o jej użytkownikach.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
