Los hackers atacan Duolingo y filtran datos de millones de usuarios

Duolingo tiene más de 74 millones de usuarios mensuales en el mundo entero. Es una auténtica barbaridad que les convierte en líderes en el sector de los idiomas. Ahora imagina que sufre un ataque hacker y que se comprometen los datos de muchos de ellos. Por desgracia, eso es justamente lo que ha ocurrido. Y ahora esa información circula por la red.

Solo poco más de 2 dólares. Ese es el precio que se le ha puesto en un foro de hackers a la base de datos formada por la información privada de más de 2,6 millones de usuarios de Duolingo. La oferta ha aparecido en la nueva versión de un conocido foro dedicado al hacking donde muchos especialistas acuden en busca de todo tipo de herramientas e información.

Un problema que viene de lejos

Es importante que sepas que estos datos de usuarios de Duolingo, entre los que se pueden encontrar los tuyos si has llegado a usar el servicio, se robaron meses atrás. La primera vez que se llegó a hablar de ellos fue en enero de este año 2023, momento en el cual apareció online una oferta por la cual se vendía la base de datos por 1.500 dólares.

Después de esta primera aparición, la filtración se enfrió, pero en marzo de este mismo año se desveló la API con la que se había realizado el robo de los datos. Se trataba de una herramienta disponible de forma pública que permitía acceder a la información pública de los usuarios de Duolingo y que también aportaba una vía para obtener las direcciones de correo electrónico. Y es ahí donde se encuentra el principal problema, ya que si bien muchos datos de Duolingo están disponibles públicamente, no ocurre lo mismo con las direcciones de email.

Duolingo no habla al respecto

Los intentos de comunicación con Duolingo que han llevado a cabo varios especialistas con la intención de descubrir su posición al respecto, no han dado sus frutos. De momento la entidad no responde y, sobre todo, se espera que aporte algún tipo de información sobre los motivos que les llevan a que todavía esté disponible la mencionada API que ha generado todo el problema.

Hay algunos hackers que han mencionado que han encontrado formas de alterar el uso de la API con la intención de escalar los ataques. Por ejemplo, tienen un sistema que les permite examinar la base de datos en busca de los usuarios de Duolingo que tienen más permisos y accesos dentro de la plataforma. Entienden que se trata de usuarios que aportarán más valor a sus ataques de phishing, por lo que son los que se encuentran ante un mayor riesgo.

Los datos de los usuarios que se han visto afectados por la brecha de seguridad incluyen el nombre de acceso en la web, el nombre real, información relacionada con el servicio que proporciona Duolingo y la dirección de correo electrónico. Es un bloque de información que, en conjunto, resulta sensible, puesto que se pueden llevar a cabo ataques dirigidos y personalizados si esos datos caen en malas manos.

La única vez en la que Duolingo habló sobre lo ocurrido fue en enero cuando se publicaron las primeras noticias de lo ocurrido. En ese momento dijeron que los datos robados solo procedían de bases de datos públicas, obviando que las direcciones de email también se habían visto comprometidas. Afirmaron que tomarían medidas para que no volviera a pasar, pero da la sensación, visto lo visto, de que no han llevado a cabo ningún tipo de medida.

Al fin y al cabo, la API en cuestión sigue disponible y ahora la base de datos ha pasado de un precio de 1.500 dólares a uno de solo 2.13 dólares. Eso podría provocar que caiga en las manos, en pocas horas, de una gran cantidad de hackers con malas intenciones. Habrá que ver cómo se desarrolla la situación en los próximos días, pero no se puede decir que el equipo de seguridad del famoso servicio para aprender idiomas online haya quedado demasiado bien.

Fuente: Bleeping Computer | adslzone