继 Discord 因数据泄露而暂时停止运营之后，最流行的语言学习应用程序 Duolingo 也面临着数据泄露的问题。用户 @vx-underground在 X 上发布的帖子（此前曾在推特上发布）称，一名威胁行为者窃取了超过 260 万 Duolingo 用户的数据，并将其发布在了最新版的黑客论坛 "Breached "上。BleepingComputer 在其最近的帖子中已经证实了这一漏洞。

很显然，黑客是通过操纵 Duolingo API 中现有的漏洞来收集到这些数据的，他们只需向 API 发送一封有效的电子邮件，就能获取用户的个人数据、联系方式、地址等信息。

黑客通过向存在漏洞的 API 发送数百万个电子邮件地址，则会进一步成功找到了 Duolingo 的活跃用户。然后，这些电子邮件 ID就会被用来创建一个包含公开的以及非公开信息的数据集。另一种方法是向 API 提供用户名，然后获取包含敏感用户信息的 JSON 数据。

不过，这已经不是第一次在网上出现这种信息了。今年 1 月，Falcon Feeds 通过在推特上发布帖子提高了人们对这一问题的认识和理解。在 Breached 黑客论坛的上一次迭代中，有人曾经以 1,500 美元的价格出售用户数据库。数据中泄露了用户大量的个人信息，其中就包括了电子邮件地址、电话号码、照片、隐私设置等等。

早些时候，Duolingo 向 TheRecord 证实了此次数据泄露事件的发生，并一直保证正在调查此事。不过，他们并未提及数据中包含用户的私人信息。

这个问题最令人担忧的地方在于，尽管 Duolingo 在一月份就已经意识到了这个问题，但被攻击利用的 API 至今仍然可以在互联网上进行公开访问。不过令人遗憾的是，这种事情经常会发生。由于大多数被攻击的数据涉及的都是之前已经存在的信息，并不是新的用户信息数据集，因此企业往往会直接忽略它。

在 Duolingo 的案例中，外泄的数据还涉及大量的敏感数据，而这些敏感数据目前还并未公开。虽然 Duolingo 尚未解决这一问题，但在这种情况下，用户最多只能修改登录凭据或者删除 Duolingo 账户。

本文翻译自：https://www.cysecurity.news/2023/08/duolingo-data-breach-hackers-posts.html如若转载，请注明原文地址 - 4HOU.COM