ALERTA: dados de 2,6 milhões de usuários do Duolingo foram roubados por hackers; entenda

Recentemente, um incidente preocupante de cibersegurança ocorreu, envolvendo o vazamento de dados de 2,6 milhões de usuários do Duolingo.

Essa exposição ocorreu em um fórum frequentado por hackers, o que agora possibilita que agentes mal-intencionados realizem ataques direcionados de phishing.

O Duolingo, renomado como um dos maiores sites globais para aprendizado de idiomas, conta com mais de 74 milhões de usuários mensais em todo o mundo e sofreu com ataque hacker contra seus usuários.

Os dados foram adquiridos por meio de uma interface de programação de aplicativos (API) que foi exposta, e essa exposição tem estado em evidência desde, pelo menos, março de 2023.

Pesquisadores têm compartilhado amplamente informações sobre como utilizar essa API, inclusive através de tweets e documentação pública.

A funcionalidade da API possibilita que qualquer indivíduo insira um nome de usuário como entrada e receba como saída um arquivo JSON contendo detalhes públicos do perfil do respectivo usuário.

Duolingo sofre com vazamento de dados

Durante o mês de janeiro deste ano, surgiu uma situação perturbadora envolvendo o vazamento de informações de 2,6 milhões de usuários do Duolingo.

Esses dados foram detectados à venda no já desativado fórum Breached, com um preço estipulado de US$ 1.500, de acordo com relatos do Bleeping Computer.

Foi constatado que essas informações contam com uma mistura de nomes autênticos e nomes de usuários públicos, além de dados sigilosos, tais como endereços de e-mail e detalhes internos referentes aos serviços oferecidos pelo Duolingo.

Ainda que os nomes verdadeiros e nomes de usuário estejam acessíveis ao público como parte dos perfis de usuário no Duolingo, a maior inquietação concentra-se nos endereços de e-mail.

Durante o período em que os dados estavam disponíveis para compra, o Duolingo comunicou ao The Record que esses dados haviam sido obtidos a partir de informações publicamente disponíveis nos perfis dos usuários.

Ao mesmo tempo, eles estavam conduzindo uma investigação para determinar se medidas de segurança adicionais seriam necessárias.

No entanto, a empresa não abordou explicitamente o fato de que os endereços de e-mail também estavam inclusos nos dados vazados. Vale ressaltar que tais endereços não estão sob domínio público, mas seguem sob domínio de hackers.