La fuente es una API expuesta que la aplicación de voz aún no ha solucionado, a pesar de haber sido informada hace seis meses.
Duolingo, una de las aplicaciones móviles más populares para aprender inglés, ha sufrido una brecha de seguridad que podría comprometer los datos de millones de usuarios.
Según el sitio de noticias sobre ciberseguridad Bleeping Computer, en enero de este año un hacker vendió datos extraídos en Duolingo de 2,6 millones de usuarios en un foro de hackers ahora desaparecido, Breached.
El botín no era muy caro ya que cualquiera con 1.500 dólares podía conseguirlo.
Los datos a los que el atacante supuestamente accedió y "comerció" incluyen una combinación de identificadores y nombres reales, así como otra información no pública, como direcciones de correo electrónico y otros datos relacionados con el servicio. Los correos electrónicos privados filtrados son motivo de mayor preocupación ya que los ciberdelincuentes pueden utilizar estas direcciones para ataques de phishing.
La culpa la tiene una API
El atacante obtuvo los datos a través de una interfaz de programación de aplicaciones (API) expuesta.
La API permite que cualquiera envíe un nombre de usuario y recupere la salida JSON que contiene la información del perfil público del usuario. Sin embargo, también es posible ingresar una dirección de correo electrónico en la API y confirmar que está asociada con una cuenta DuoLingo válida.
Bleeping Computer pudo confirmar que la API todavía estaba abierta al público, incluso después de que la empresa se enterara del problema de seguridad a principios de este año. El API permitió a un atacante inyectar en la API millones de direcciones de correo electrónico supuestamente expuestas en violaciones de datos anteriores y confirmar si pertenecían a cuentas de DuoLingo.Estas direcciones de correo electrónico se utilizaron luego para crear un registro de información pública y no pública.
Duolingo tiene más de 74 millones de usuarios que utilizan sus servicios cada mes, lo que la convierte en una de las herramientas de aprendizaje de idiomas más importantes.
