Wielki wyciek danych z popularnej aplikacji. Dane 2,6 mln użytkowników wystawione na sprzedaż
Przyzwyczailiśmy się już do tego, że nawet w przypadku największych i najbardziej popularnych aplikacji i portali co jakiś mamy do czynienia z wyciekami danych użytkowników. Niemniej rzadko dochodzi do sytuacji, w której liczbę wyciekłych rekordów liczy się w milionach. Niestety, taka miała właśnie miejsce, a incydent związany jest z aplikacją, którą pobrały setki milionów użytkowników i jest niezwykle popularna także w Polsce.
Przekleństwo wycieków danych
Można było mieć nadzieję, że wejście w życie RODO wymusi na administratorach danych wprowadzenie mechanizmów skutecznej ochrony danych swoich klientów. Groźba gigantycznych kar przyniosła swoje pozytywne skutki, jednak w przypadku zabezpieczania infrastruktury informatycznej nigdy nie możemy mieć stuprocentowej gwarancji bezpieczeństwa. Właśnie przekonali się o tym twórcy i użytkownicy bodaj najpopularniejszej aplikacji służącej do nauki języków obcych, Duolingo.
Na jednym z darknetowych forów pojawiła się oferta sprzedaży danych 2,6 mln użytkowników Duolingo. To dla hakerów standardowa procedura – najpierw, w tym przypadku w ramach tzw. scrapingu, pozyskują dane lub kompilują je z różnych źródeł, by potem w większych paczkach sprzedawać je innym. Zastosowanie w ten sposób dystrybuowanych danych jest następnie zależne od zakresu pozyskanych danych – w skrajnych przypadkach, tj. gdy w bazie znajdowały się niezabezpieczona hasła, może dojść nawet do całkowitego przejęcia kont i dołączenia ich do sieci botnetowych.
Oszustwo na popularny sklep internetowy. Ostrożnie z zakupami w sieci, złodzieje znów atakująDane 2,6 mln użytkowników Duolingo na sprzedaż
Na szczęście w przypadku najnowszego wycieku danych z Duolingo nie mamy do czynienia z tak pesymistycznym scenariuszem. Według wstępnych ustaleń zawiniło wadliwe API (w uproszczeniu jest to interfejs pozwalający aplikacjom pozyskiwanie danych z innych aplikacji), dzięki któremu napastnikom udało się do publicznych i prywatnych danych użytkowników Duolingo.
Dobre wieści są takie, że wśród pozyskanych informacji nie znalazły się hasła użytkowników. Złe – na sprzedaż, oprócz publicznych danych, jak stosowany w Duolingo login czy zdobyte osiągnięcia, wystawione zostały imiona i nazwiska i adresy mailowe. Oferowana baza składa się w dużej części z informacji, które zostały pozyskane z Duolingo już wcześniej – pierwsze próby sprzedaży miały miejsce już w styczniu tego roku – jednak wówczas oferta szybko została usunięta.
Jakie jest zagrożenie?
W momencie opracowywania artykułu bazę 2,6 mln użytkowników nadal można zdobyć na aukcji – cena wywoławcza to zaledwie 1,5 tys. dolarów, czyli niecałe 6,2 tys. złotych. Sprzedający udostępnia nawet darmową próbkę zawierającą danych tysiąca użytkowników, która ma świadczyć o autentyczności zgromadzonych przez niego danych. Na podstawie dotychczas przeanalizowanych informacji można już teraz wyciągnąć wniosek, że mamy do czynienia z danymi prawdziwych użytkowników.
Duolingo zostało pobrane ponad 500 mln razy, przy czym ponad 50 mln użytkowników korzysta z aplikacji aktywnie, przynajmniej raz w miesiącu. Nieco ponad 2,5 mln rekordów może się więc wydawać stosunkowo niewielką liczbą, zwłaszcza że trudno stwierdzić, aby wyciek informacji o postępach w nauce angielskiego stanowił krytyczne zagrożenie. Niemniej łączenie w obrębie jednego rekordu imienia i nazwiska z adresem mailowym może być w przyszłości wykorzystywane w kampaniach spamowych.
Czy moje dane zostały skradzione?
Użytkownikom Duolingo, którzy obawiają się, że ich dane trafiły na sprzedaż, zalecamy skorzystanie ze strony haveibeenpwned.com. To bezpieczny sposób na zweryfikowanie, czy dany adres mailowy znalazł się w dotychczasowych wyciekach, a baza została już zaktualizowana o rekordy wykradzione z bazy Duolingo. Wystarczy wprowadzić adres mailowy wykorzystywany do rejestracji w aplikacji, by uzyskać stosowne informacje.
