{"id":285247,"date":"2023-08-24T19:29:10","date_gmt":"2023-08-24T17:29:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285247"},"modified":"2023-08-30T15:55:05","modified_gmt":"2023-08-30T13:55:05","slug":"duolingo-leck-mit-26-millionen-nutzerdatenstze-prfung-auf-have-i-been-pawned-mglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/24\/duolingo-leck-mit-26-millionen-nutzerdatenstze-prfung-auf-have-i-been-pawned-mglich\/","title":{"rendered":"Duolingo: Leck mit 2,6 Millionen Nutzerdatens&auml;tze, Pr&uuml;fung auf 'Have I been Pwned' m&ouml;glich"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/08\/25\/duolingo-leak-with-2-6-million-user-records-check-for-have-i-been-pwned-possible\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Bei der Sprachlern-App Duolingo bzw. bei deren Anbieter erm\u00f6glichten Schwachstellen Benutzerdaten abzuziehen. Jetzt hat Troy Hunt einen Datensatz mit den Informationen zu 2,6 Millionen Duolingo Nutzern in seine Plattform 'Have I been Pwned' integriert. Und wenn ich es richtig mitbekommen habe, sind die Schwachstellen in der Duolingo-API bisher immer noch nicht beseitigt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/47c1ffd48dd04a73a3a20aaf9d1aa486\" alt=\"\" width=\"1\" height=\"1\" \/>Zum Hintergrund: <a href=\"https:\/\/de.wikipedia.org\/wiki\/Duolingo\" target=\"_blank\" rel=\"noopener\">Duolingo<\/a> ist ein Freemium-Onlinedienst zum Erlernen von Sprachen. Er wurde mit dem Ziel erstellt, Bildung allen kostenlos zur Verf\u00fcgung zu stellen. Das gleichnamige Unternehmen ist seit 2021 an der US-Technologieb\u00f6rse NASDAQ gelistet. Ende M\u00e4rz 2023 z\u00e4hlte man rund 72,6 Millionen aktive monatliche Nutzer und 4,8 Millionen zahlende Kunden.<\/p>\n<blockquote><p>Ich selbst habe die Duolingo-App auf einem Android-Ger\u00e4t installiert, um in eine Sprache zu schnuppern und alte Kenntnisse aufzufrischen. Allerdings habe ich nie ein Benutzerkonto bei diesem Anbieter registriert, so dass ich vom Hack nicht betroffen bin.<\/p><\/blockquote>\n<h2>Datenleck bei Duolingo<\/h2>\n<p>Es sind wohl im Januar 2023 2,6 Millionen Datens\u00e4tze zu Duolingo-Nutzern in einem Hackerforum aufgetaucht. Die Kollegen von Bleeping Computer schreiben <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>, dass es das inzwischen geschlossene Breached-Hacker-Forum gewesen sei. Ein Hacker hat diese pers\u00f6nlichen Daten \u00fcber die Duolingo-API abgezogen und urspr\u00fcnglich f\u00fcr 1.500 US-Dollar angeboten.<\/p>\n<p>Diese Daten umfassen laut Bleeping Computer eine Mischung aus \u00f6ffentlichen Login- und echten Namen sowie nicht-\u00f6ffentlichen Informationen, darunter E-Mail-Adressen und interne Informationen im Zusammenhang mit dem Duolingo-Dienst. Name und Anmeldename des Nutzers sind wohl \u00f6ffentlich, die zugeordnete E-Mail-Adresse aber nicht. Es besteht die Gefahr, dass diese E-Mail-Adresse nun f\u00fcr Phishing und andere Angriffe verwendet wird.<\/p>\n<p>Urspr\u00fcnglich hatte Duolingo die Daten als echt eingestuft. Die Tage stie\u00df dann <a href=\"https:\/\/twitter.com\/vxunderground\/status\/1693742275145150927\" target=\"_blank\" rel=\"noopener\">vx-underground<\/a> erneut auf die von 2,6 Millionen Duolingo-Datens\u00e4tze, die nun in einer aktualisierten Fassung angeboten wurden. Diese Daten wurden \u00fcber eine Anwendungsprogrammierschnittstelle (API) abgefragt, die seit mindestens M\u00e4rz 2023 \u00f6ffentlich zug\u00e4nglich. Es ist bekannt, wie diese API zu verwenden ist. Es reicht, einen Benutzernamen einzugeben, um per API die zugeh\u00f6rige E-Mail-Adresse zu erhalten und umgekehrt.<\/p>\n<p>BleepingComputer schreibt, dass diese API immer noch f\u00fcr jedermann im Internet zug\u00e4nglich ist, selbst nachdem ihr Missbrauch im Januar 2023 an DuoLingo gemeldet wurde. Das Datenleck ist also immer noch offen.<\/p>\n<h2>Daten auf Have I been Pwned<\/h2>\n<p>Ich bin bereits gestern auf den nachfolgenden <a href=\"https:\/\/twitter.com\/troyhunt\/status\/1694172825681289234\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Troy Hunt gesto\u00dfen, der die Webseite <a href=\"https:\/\/haveibeenpwned.com\/\" target=\"_blank\" rel=\"noopener\">'Have I been pwned'<\/a> (HIBP) betreibt. Troy Hunt hat dann in obigen Tweet nachgefragt, ob jemand einen Link auf diese Daten habe und ob er wohl die Datens\u00e4tze erhalten k\u00f6nne.<\/p>\n<p><img decoding=\"async\" title=\"Duolingo user data leaked\" src=\"https:\/\/i.postimg.cc\/PfRG5Kft\/image.png\" alt=\"Duolingo user data leaked\" \/><\/p>\n<p>Inzwischen scheint er die Datens\u00e4tze erhalten zu haben und hat diese auf seiner Plattform integriert.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Von Surfshark habe ich noch eine <a href=\"https:\/\/surfshark.com\/research\/chart\/duolingo-data-leak\" target=\"_blank\" rel=\"noopener\">Auswertung<\/a> des Duolingo-Datenlecks erhalten. US-Nutzer sind mit 967 000 E-Mail-Adressen (ca. 1\/3 der Daten) am st\u00e4rksten betroffen. An zweiter Stelle steht der S\u00fcdsudan, wo f\u00fcnfmal weniger Konten (175k) als in den USA betroffen sind. Spanien folgt an dritter Stelle mit 123k gef\u00e4hrdeten Konten, gefolgt von Frankreich mit 105k und dem Vereinigten K\u00f6nigreich mit 98k.<\/p>\n<p>Insgesamt wurden 16,3 Millionen Datenpunkte von Duolingo-Nutzern offengelegt. Im Durchschnitt wurden f\u00fcr jedes E-Mail-Konto f\u00fcnf Datenpunkte preisgegeben, z. B. Sprache (5,3 Mio.), Profilbild (2,7 Mio.), Nutzername (2,7 Mio.), Name (2,2 Mio.), Land (0,7 Mio.) oder Lebenslauf (6k).<\/p>\n<p>Die gr\u00f6\u00dfte Sorge ist, dass die E-Mail-Adressen f\u00fcr personalisierte Phishing-Angriffe verwendet werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Bei der Sprachlern-App Duolingo bzw. bei deren Anbieter erm\u00f6glichten Schwachstellen Benutzerdaten abzuziehen. Jetzt hat Troy Hunt einen Datensatz mit den Informationen zu 2,6 Millionen Duolingo Nutzern in seine Plattform 'Have I been Pwned' integriert. Und wenn ich es richtig mitbekommen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/08\/24\/duolingo-leck-mit-26-millionen-nutzerdatenstze-prfung-auf-have-i-been-pawned-mglich\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-285247","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285247","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285247"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285247\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285247"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285247"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285247"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}