Duolingoから流出した260万人分のデータがわずか2.13ドルで販売され始める

Web

Duolingo

Duolingoから流出した260万人分のデータが、わずか2.13ドルで販売され始めました。海外メディアのBleeping Computerが報じました。

Duolingoは、月間ユーザー数7,400万人を超える世界最大級の外国語学習サイト・アプリだ。しかし、Duolingoから260万人分の名前・メールアドレスを含むデータが流出している。

2023年1月、何者かが260万人分のDuolingoユーザーのスクレイピングデータを、ハッキングフォーラムで1,500ドルで販売しだした。このデータにはDuolingoで公開されているログイン名と実名(設定していれば)、そして非公開の電子メールアドレスや内部情報などが含まれている。

当時、1,500ドルで販売されていた
当時、1,500ドルで販売されていた

当時、Duolingoはこのデータを、公開されているプロフィールからスクレイピングされただけで、データ漏えいやハッキングは発生していないものとし、スクレイピングに対処するかは検討中だと述べた。しかし、非公開情報であるメールアドレスまで含まれていることについては言及しなかった。

この件に詳しいvx-undergroundは、データの取得方法について以下のように述べている。

vx-undergroundのポスト

これらのデータは、Duolingo APIのバグを利用すれば誰でも取得できます。APIに電子メールアドレスを送信すると、該当するユーザーがいればそのアカウント情報(名前、電子メールアドレス、学習した言語)が返ってきます。電子メールリストを使って260万人分のデータを収集したのでしょう。

APIは今も公開されたままだ。私たちはDuolingoに、なぜまだAPIが利用可能な状態にあるのか理由を尋ねたが返事はまだない。

このユーザーデータは、つい先日、ハッキングフォーラムでわずか2.13ドル相当のサイト内通貨で販売され始め、誰でも簡単に入手できるようになった。

フォーラムに260万人分のデータをアップロードしたという
260万人分のデータをアップロードしたという

ハッキングフォーラムには「Duolingoからスクレイピングした260万人分のデータをアップロードしました。ダウンロードしてお楽しみください」と記されている。

[Source: Bleeping Computer

流出したユーザーデータには公開設定になっている名前と、非公開設定のメールアドレスが含まれているそうです。流出した260万人に該当していると、フィッシングメールなどが届く恐れがあります。Duolingoを使っている方はお気をつけください。

Posted by にっち