最新消息显示,语言学习应用程序Duolingo被恶意行为者爬取了超过260万的用户数据,目前,这些数据已经被发布到暗网黑客论坛上。
8月22日,一名恶意行为者在暗网黑客论坛上出售这些信息。恶意行为者出价1500美元,可购买全部260万条记录。黑客声称通过暴露的应用程序接口(API)获得了对数据的访问权限并进行了爬取。他们还通过提供1000个账户的数据样本来证实数据的合法性。
Duolingo向新闻网站TheRecord证实,这些数据是从公开的个人资料信息中抓取的。泄露的数据包括用户姓名、用户名、电子邮件地址以及与Duolingo服务相关的其他信息。但值得注意的是,电子邮件地址不是Duolingo上的公开信息。
Duolingo发言人在谈到此次网络安全事件时表示:“没有发生数据泄露或黑客攻击事件。我们非常重视数据隐私和数据安全,并将继续调查此事,以确定是否需要采取任何进一步行动来保护我们的学习者。”
自2023年3月以来,公开的API已为公众所知。它允许任何人通过输入用户名来检索任何Duolingo个人资料的公开信息。网络安全新闻网站BleepingComputer证实,尽管Duolingo在2023年1月就被告知API处于开放状态,但仍未关闭,即该API仍处于开放状态。