Yeni güne Duolingo veri ihlali haberiyle başladık. Dil öğrenme platformu, yaşanan son veri ihlaliyle yaklaşık 3milyon kullanıcının kişisel bilgilerinin tehlikeye girdiğini açıkladı. İhlal sonucunda ele geçirilen bilgilerin şu anda internette satışa çıktığı bildiriliyor.
Duolingo veri ihlali: 3 milyona yakın kullanıcının bilgileri tehlikede
Popüler dil öğrenme uygulaması Duolingo, son veri ihlali ile yaklaşık 3 milyon kullanıcının kişisel bilgilerinin tehlikede olduğunu duyurdu. Bu veri ihlali sonucunda e-posta adresleri, kullanıcı adları, isimler ve telefon numaraları gibi hassas ve gizli kalması gereken bilgiler, yeraltı siber suç pazarı olan BreachForums’da satışa sunulmuş durumda.
Duolingo veri ihlali detayları
Yaşanan ihlal, veri güvenliği ve gizliliği konusunda ciddi endişeleri beraberinde getirerek Duolingo’yu harekete geçmeye zorladı. Şimdi ihlal sonucunda ortaya çıkan detaylara ve olası etkileri daha yakından inceleyelim.
Aynı zamanda bilmenizde fayda var; bu veriler arasında sosyal medya profilleri, dil öğrenme seviyeleri ve başarıları gibi özel bilgiler de bulunuyor.
Ocak ayından bu yana bu bilgiler bu bilgileri içeren paketler 1500 dolar gibi bir fiyatla satışa sunulmuş durumdalar. Ancak şimdi BreachForums’un iç para birimi karşılığında sadece 8 krediye denk gelen yaklaşık 2.13 dolarla elde edilebiliyor.
Bu olay, siber güvenlik topluluğunda alarm zillerinin çalmasına neden oldu ve uzmanlar ile kullanıcılar, ihlalin boyutları konusunda büyük endişeler taşıyorlar. Bir bilgisayar korsanı forumda “Bugün Duolingo verileri indirmek için scrape’i paylaşım, okuduğunuz için teşekkürler, iyi kullanımlar!” şeklinde bir mesaj bıraktı.
Araştırmacılar ihlalin detayını ortaya çıkardı
VX-underground adlı araştırmacı grubu, Duolingo veri ihlali ile ilgili önemli bir ayrıntıyı açığa çıkardı. Görünüşe göre kötü amaçlı bir kişi, Duolingo’nun API’sinde bulunan bir güvenlik açığından faydalanarak saldırıyı gerçekleştirmiş. Saldırgan, geçerli bir e-posta ile API’ye erişerek kullanıcıların genel hesap bilgilerini ele geçirmiş. Bu güvenlik açığı, kullanıcıların özel bilgilerinin ifşa edilmesine ve hatta kimlik avı saldırılarına yol açabilecek ciddi bir zafiyet yarattı.
A Threat Actor identified a bug in the Duolingo API. Sending a valid email to the API returns generic account information on the user (name, email, languages studied).
They used an email list to assemble over 2.6m unique entries.
This will be used for doxxing.
— vx-underground (@vxunderground) August 21, 2023
Flipper Zero: Ufak cihaz, büyük tehlike
Cybernews isimli araştırmacılar, ihlali daha ayrıntılı şekilde incelediler ve Duolingo’daki kullanıcı verilerinin ihlale karşı savunmasız olduğunu keşfettiler. Bu durum, kullanıcıların konum bilgileri ve herkese açık avatarları gibi esktra bilgilere erişilebileceği anlamına geliyor.
Duolingo veri ihlali üzerinde çalışıyor
Duolingo, hızlı bir şekilde yaşanan ihlale tepki göstererek veri ihlalini kabul etti. Şirket, ele geçirilen verilerin platformun açık API’si aracılığıyla kamuya açık profil bilgilerinden toplandığını belirtiyor.
