 |
La famosa app que usan muchas personas para aprender inglés y otros idiomas ha sido hackeada hace muy poco tiempo. Los ciberdelincuentes han obtenido los datos de millones de usuarios y los han puesto a la venta en un foro de piratería. Concretamente, hablamos de los datos de 2,6 millones de usuarios, entre los que se incluyen email, nombre y otros. Si estás usando esta app, es posible que alguien haya vendido tus datos y los estén usando con fines no lícitos. |
Pero el peligro no se acaba ahí, ya que se ha descubierto que más allá de esta filtración hay un error en la app que podría poner en riesgo a los 74 millones de usuarios mensuales que tiene el servicio en todo el mundo. Aunque la cifra de personas afectadas en enero de este año, que es el momento en que se han hecho con los datos de millones de usuarios, no haya sido la totalidad de usuarios, si usas el servicio tus datos podrían haber estado expuestos a ciberdelincuentes. El problema aún no ha sido solucionado todavía ni parece que lo vaya a hacer.
A la venta los datos de 2,6 millones de usuarios
Los datos extraídos en enero de este año han sido puestos a la venta en el foro de piratería Breached por 1.500 dólares (1.387 euros al cambio). Entre ellos, se incluyen inicios de sesión, nombres reales, emails, información relacionada con Duolingo y otros datos. Los ciberdelincuentes han podido utilizarlos para realizar ataques de phishing. Cuando los datos estuvieron a la venta por primera vez, Duolingo lo confirmó y aseguró que estaban investigando si debían tomar más precauciones, aunque asegurando que no habían sido hackeados, sino que la información había sido recopilada de datos públicos. No aclararon que se estaba filtrando información que no era pública, como los emails de sus usuarios.
El usuario de Twitter vx-underground aseguró recientemente que un hacker identificó un error en la API de Duolingo por medio del cual el envío de un correo electrónico válido a la API devuelve información genérica de la cuenta del usuario (nombre, correo electrónico, idiomas estudiados).
Tras ello, es con lo que se ha usado una lista de correo electrónico para reunir más de 2,6 millones de datos de usuarios que se usaron para hacer doxxing. Estos datos han sido publicados en el foro de piratería a cambio de menos de 2 euros, que son 8 créditos del sitio. Cualquiera puede acceder a información tuya que podría derivar en un ataque de phishing por tan poco dinero.
La API utilizada para obtener información pública de los usuarios de Duolingo todavía está disponible para cualquier persona en la web, incluso mucho después de informar del hackeo a Duolingo en el mes de enero. De hecho, en una página se explica cómo funciona y se muestran muchos datos interesantes para ciberdelincuentes. Por tanto, si te encuentras dentro de los millones de usuarios de la app para aprender idiomas podrías estar gravemente en peligro porque se podrían usar tus datos para multitud de cosas, y ninguna de ellas buena.
Fuente: https://www.movilzona.es/noticias/problemas/duolingo-hackeado-datos-filtrados/