Datum (Veröffentlichung) | Land |
---|---|
23. August 2023 | Weltweit |
Die populäre Sprachlern-App Duolingo steht unter Beschuss: Persönliche Daten von schätzungsweise 2,6 Millionen Nutzern wurden kürzlich in einem Hackerforum öffentlich gemacht. Diese unerfreuliche Nachricht lässt Fragen nach der Sicherheit und Datenschutzpraxis des Unternehmens aufkommen.
Was genau ist bei Duolingo passiert?
Ein Hacker hat sich Zugriff auf die Datenbank von Duolingo verschafft und Daten von 2,6 Millionen Benutzern offengelegt. Laut Bleeping Computer handelt es sich dabei um Namen, Nutzernamen, E-Mail-Adressen sowie interne Daten, die mit dem Duolingo-Dienst verbunden sind, wie zum Beispiel die Sprachen, die ein Nutzer lernt oder die Kurse, die er nutzt. Diese Daten könnten Cyberkriminelle nun nutzen, um gezielte Phishing-Angriffe zu starten.
Wie kam es zu dem Datenleck?
Es scheint, dass das Problem schon länger bekannt war. Die gestohlenen Daten tauchten erstmals im Januar 2023 in dem mittlerweile deaktivierten Hackerforum „Breached“ für 1.500 US-Dollar auf. Zu diesem Zeitpunkt bestätigte Duolingo einen Datenabfluss, ging jedoch nicht näher darauf ein, dass nicht-öffentliche E-Mail-Adressen im Datensatz enthalten waren.
Sicherheitsexperten von VX-Underground identifizierten die Schwachstelle als eine Programmierschnittstelle (API) von Duolingo. Über diese API können externe Akteure mit einfachem Internetzugang Benutzerdaten abrufen, indem sie lediglich eine E-Mail-Adresse angeben. Trotz eines Hinweises auf den Missbrauch dieser Schnittstelle im Januar, ist diese API immer noch zugänglich. Kriminelle könnten also öffentliche E-Mail-Listen aus vorherigen Datenlecks verwenden, um automatisiert Millionen von Anfragen an die API zu senden.
Ein Sicherheitsrisiko für die Nutzer von Duolingo?
Die Daten, die über die API abgerufen werden können, enthalten auch Hinweise darauf, ob ein Benutzer besondere Berechtigungen oder Funktionen hat. Dies könnte für Hacker besonders wertvoll sein, um gezielte Angriffe durchzuführen.
Was können Duolingo-Nutzer jetzt tun?
Wenn Sie den Sprachdienst nutzen, sollten Sie in Betracht ziehen, Ihr Passwort zu ändern und zweistufige Authentifizierung zu aktivieren, falls das Unternehmen dies anbietet. Seien Sie auch wachsam gegenüber verdächtigen E-Mails oder Nachrichten, die sich auf Ihr Duolingo-Konto beziehen.
Dieser Vorfall unterstreicht erneut, wie wichtig es für Unternehmen ist, ihre Daten zu schützen und schnell auf Sicherheitslücken zu reagieren. Es bleibt abzuwarten, wie Duolingo auf diesen Vorfall reagiert und welche Maßnahmen ergriffen werden, um die Sicherheit der Nutzerdaten in Zukunft zu gewährleisten.