[English]Bei der Sprachlern-App Duolingo bzw. bei deren Anbieter ermöglichten Schwachstellen Benutzerdaten abzuziehen. Jetzt hat Troy Hunt einen Datensatz mit den Informationen zu 2,6 Millionen Duolingo Nutzern in seine Plattform 'Have I been Pwned' integriert. Und wenn ich es richtig mitbekommen habe, sind die Schwachstellen in der Duolingo-API bisher immer noch nicht beseitigt.
Anzeige
Zum Hintergrund: Duolingo ist ein Freemium-Onlinedienst zum Erlernen von Sprachen. Er wurde mit dem Ziel erstellt, Bildung allen kostenlos zur Verfügung zu stellen. Das gleichnamige Unternehmen ist seit 2021 an der US-Technologiebörse NASDAQ gelistet. Ende März 2023 zählte man rund 72,6 Millionen aktive monatliche Nutzer und 4,8 Millionen zahlende Kunden.
Ich selbst habe die Duolingo-App auf einem Android-Gerät installiert, um in eine Sprache zu schnuppern und alte Kenntnisse aufzufrischen. Allerdings habe ich nie ein Benutzerkonto bei diesem Anbieter registriert, so dass ich vom Hack nicht betroffen bin.
Datenleck bei Duolingo
Es sind wohl im Januar 2023 2,6 Millionen Datensätze zu Duolingo-Nutzern in einem Hackerforum aufgetaucht. Die Kollegen von Bleeping Computer schreiben hier, dass es das inzwischen geschlossene Breached-Hacker-Forum gewesen sei. Ein Hacker hat diese persönlichen Daten über die Duolingo-API abgezogen und ursprünglich für 1.500 US-Dollar angeboten.
Diese Daten umfassen laut Bleeping Computer eine Mischung aus öffentlichen Login- und echten Namen sowie nicht-öffentlichen Informationen, darunter E-Mail-Adressen und interne Informationen im Zusammenhang mit dem Duolingo-Dienst. Name und Anmeldename des Nutzers sind wohl öffentlich, die zugeordnete E-Mail-Adresse aber nicht. Es besteht die Gefahr, dass diese E-Mail-Adresse nun für Phishing und andere Angriffe verwendet wird.
Ursprünglich hatte Duolingo die Daten als echt eingestuft. Die Tage stieß dann vx-underground erneut auf die von 2,6 Millionen Duolingo-Datensätze, die nun in einer aktualisierten Fassung angeboten wurden. Diese Daten wurden über eine Anwendungsprogrammierschnittstelle (API) abgefragt, die seit mindestens März 2023 öffentlich zugänglich. Es ist bekannt, wie diese API zu verwenden ist. Es reicht, einen Benutzernamen einzugeben, um per API die zugehörige E-Mail-Adresse zu erhalten und umgekehrt.
Anzeige
BleepingComputer schreibt, dass diese API immer noch für jedermann im Internet zugänglich ist, selbst nachdem ihr Missbrauch im Januar 2023 an DuoLingo gemeldet wurde. Das Datenleck ist also immer noch offen.
Daten auf Have I been Pwned
Ich bin bereits gestern auf den nachfolgenden Tweet von Troy Hunt gestoßen, der die Webseite 'Have I been pwned' (HIBP) betreibt. Troy Hunt hat dann in obigen Tweet nachgefragt, ob jemand einen Link auf diese Daten habe und ob er wohl die Datensätze erhalten könne.
Inzwischen scheint er die Datensätze erhalten zu haben und hat diese auf seiner Plattform integriert.
Ergänzung: Von Surfshark habe ich noch eine Auswertung des Duolingo-Datenlecks erhalten. US-Nutzer sind mit 967 000 E-Mail-Adressen (ca. 1/3 der Daten) am stärksten betroffen. An zweiter Stelle steht der Südsudan, wo fünfmal weniger Konten (175k) als in den USA betroffen sind. Spanien folgt an dritter Stelle mit 123k gefährdeten Konten, gefolgt von Frankreich mit 105k und dem Vereinigten Königreich mit 98k.
Insgesamt wurden 16,3 Millionen Datenpunkte von Duolingo-Nutzern offengelegt. Im Durchschnitt wurden für jedes E-Mail-Konto fünf Datenpunkte preisgegeben, z. B. Sprache (5,3 Mio.), Profilbild (2,7 Mio.), Nutzername (2,7 Mio.), Name (2,2 Mio.), Land (0,7 Mio.) oder Lebenslauf (6k).
Die größte Sorge ist, dass die E-Mail-Adressen für personalisierte Phishing-Angriffe verwendet werden.
Anzeige
Danke für den Hinweis, gleich mal die familialen Accounts gecheckt, keiner dabei!
Wie ich es immer wieder sage und bemerke: Da schützt man seine Rechenknechte perfekt keine Malware, kein Phishing kommt durch und was passiert: irgend ne Drecksfirma schlampt mal wieder und lässt sich deine Daten klauen!
Bringt endlich die volle Haftung für Firmen und Sitebetreiber! Schnell und unbürokratisch auf dem kleine Dienstweg einklagbar; für jeden, nicht nur für DSGVO Behörden!
Wenn sich die Firmen auf einmal Millionen von Schadensersatzforderungen gegenübersehen welche die Gewinn auffressen, denken sie vielleicht mal mit (und wenn nicht schadet es nicht wenn diese Firmen von der Bildfläche verschwinden).
Wenn ein Land das so umsetzt, wird es wohl für die Menschen dort eine nette "Dieser Dienst ist in Ihrem Land leider nicht verfügbar" Mitteilung geben, fertig.
Eine "volle Haftung für Firmen und Sitebetreiber" ist rechtlich schwer umzusetzen. Der Grund liegt schlichtweg darin, dass diverse Komponenten in einem System oder einer Software von Dritten kommen. Oder anders ausgedrückt: Zusammengebastelte Hardware und Software auf Sicherheitslücken zu überprüfen, ist für viele Firmen und Seitenbetreiber einfach nicht umsetzbar. Schon gar nicht, wenn dafür die erforderlichen Ressourcen (Personal, Kapital, Zeit, …) fehlen.
Qualitätssicherung in der Softwareentwicklung ist selten gelebte Praxis, weil auch das Zeit und Geld kostet. Heutzutage kannst du dir das alles Mögliche selbst "zusammenklicken". Das hört bei einer eigenen Website noch lange nicht auf.
Da es eine ganze Weile die Möglichkeit gab, sich mit einer Mailadresse anzumelden, auf die man kein Zugriff hatte (kein Bestätigungslink o.ä.), sollte man sich nicht wundern dass man in dem Datenleck auftaucht obwohl man nie mit dem Dienst zu tun hatte.