Dados de 2,6 milhões de usuários do Duolingo são expostos na internet
Por Felipe Demartini • Editado por Wallace Moté |
As informações de 2,6 milhões de usuários do Duolingo, o maior aplicativo de ensino de idiomas da atualidade, foram expostas em um fórum cibercriminoso. O volume contém nomes, logins, e-mails, país e outros dados relacionados ao uso da plataforma, como as línguas usadas, aulas atendidas e outras telemetrias relacionadas ao aprendizado.
- 10 milhões de brasileiros têm dados vazados todos os meses
- Custos de vazamento de dados podem ultrapassar R$ 26 mi em 2023
O volume seria resultado de raspagem de dados, após a exploração de uma API cuja vulnerabilidade foi descoberta por especialistas em segurança em março deste ano. As informações seriam públicas e estariam disponíveis individualmente nos perfis dos utilizadores do Duolingo, mas aqui, aparecem compiladas em uma lista que tem serventia para tarefas cibercriminosas.
Tanto que, em janeiro deste ano, o conjunto de informações foi colocado à venda em um fórum cibercriminoso agora extinto por US$ 1,5 mil, ou cerca de R$ 7,4 mil. Agora, ele é comercializado em outro espaço do tipo, mas por um valor bem menor, de cerca de US$ 2, ou aproximadamente R$ 10, em créditos do próprio serviço usado pelos bandidos. Não se sabe se as vendas foram concretizadas.
"Estou vendendo 2,6 milhões de entradas de contas do Duolingo, que foram raspadas a partir de uma API exposta. O preço inicial é de US$ 1.500, mas pode ser negociado. Os dados contêm os seguintes campos: Abaixo está uma amostra de 1.000 contas para vocês darem uma olhada. Se estiver interessado em comprar, entre em contato comigo por uma das plataformas indicadas abaixo deste post."
No início do ano, o Duolingo confirmou que o volume corresponde às informações de seus usuários, mas reforçou que elas seriam públicas e estariam disponíveis nos próprios perfis. Entretanto, isso não vale para os e-mails dos utilizadores, que teriam sido cruzados com as contas na plataforma a partir de outros vazamentos de informação, já que a vulnerabilidade na API confirmava o uso do endereço em um cadastro caso ele fosse inserido na plataforma.
É a receita usual de ataques envolvendo a raspagem de dados, voltados à obtenção de informações que permitam a realização de ataques de phishing. De posse da telemetria e outros registros relacionados ao uso do Duolingo, ou qualquer outro serviço que passe por situação semelhante, os cibercriminosos podem criar contatos fraudulentos mais convincentes, falando em nome da própria plataforma de idiomas ou prometendo promoções falsas a seus clientes, por exemplo.
Além disso, comentários relacionados ao volume no fórum cibercriminoso usado para publicação indicam a presença de registros relacionados às permissões dos usuários nos sistemas do Duolingo. Assim, seria possível encontrar contas mais “interessantes” aos bandidos, como as que podem pertencer a professores, moderadores, administradores ou funcionários da empresa, por exemplo.
O Duolingo não voltou a se pronunciar sobre o assunto. Ainda, informações do site Bleeping Computer indicam que a API usada para a raspagem de dados segue vulnerável, possibilitando a coleta de dados desta maneira. Por fim, o notório site Have I Been Pwned incluiu o volume vazado do serviço de idiomas em seu banco de dados, permitindo que os utilizadores chequem se suas informações foram comprometidas
Como evitar ataques após raspagem de dados?
Manter a atenção de sempre a e-mails fraudulentos e contatos suspeitos ajuda a evitar ataques relacionados ao comprometimento de dados por meio de scraping. Nestes casos, o foco deve ser redobrado, principalmente em relação a comunicações que cheguem em nome da empresa atingida ou que tenham algum tipo de relação com ela.
Sendo assim, permanecem as dicas usuais de não clicar em links nem baixar arquivos anexos que cheguem por e-mail ou mensagem direta. Observe o remetente e pense se ele corresponde a meios oficiais de contato; caso acredite que a comunicação é legítima, mas não tenha certeza, prefira buscar o atendimento por meios oficiais em vez de responder.
Manter antivírus e apps de segurança instalados no celular ou computador também ajuda a identificar e-mails, mensagens e sites fraudulentos. Além disso, vale a pena adotar medidas para proteger contas de usuário, como o uso de autenticação em duas etapas ao lado de senhas seguras, que sejam complexas e difíceis de se descobrir, além de únicas para cada plataforma.
Fonte: Bleeping Computer