260 万人の DuoLingo ユーザーのスクレイピングされたデータがハッキング フォーラムで流出し、脅威アクターが暴露された情報を使用して標的型フィッシング攻撃を実行できるようになりました。
Duolingo は世界最大の言語学習サイトの 1 つで、世界中の月間ユーザー数が 7,400 万人を超えています。
2023 年 1 月、誰かが現在閉鎖されている Breached ハッキング フォーラムで 260 万人の DuoLingo ユーザーのスクレイピング データを 1,500 ドルで販売していました。
このデータには、パブリック ログイン名と実名、および DuoLingo サービスに関連する電子メール アドレスや内部情報などの非公開情報が混在しています。
本名とログイン名はユーザーの Duolingo プロフィールの一部として公開されていますが、電子メール アドレスはこの公開データが攻撃に使用される可能性があるため、より懸念されます。
出典: ファルコンフィード
データが販売されていたとき、DuoLingo はTheRecordに対し、そのデータは公開プロフィール情報から削除されたものであり、さらなる予防措置を講じるべきかどうか調査中であることを認めました。
しかし、Duolingo は、電子メール アドレスもデータにリストされており、これは公開情報ではないという事実には触れていません。
VX-Undergroundによって最初に発見されたように、スクレイピングされた 260 万のユーザー データセットは昨日、Breached ハッキング フォーラムの新バージョンで 8 サイト クレジット (わずか 2.13 ドル相当) でリリースされました。
ハッキング フォーラムの投稿には、「今日はダウンロードできるように Duolingo Scrape をアップロードしました。読んで楽しんでくれてありがとう!」と書かれています。
ソース:
このデータは、公開されたアプリケーション プログラミング インターフェイス (API) を使用してスクレイピングされたもので、この API は少なくとも 2023 年 3 月以降、公開で共有されており、研究者らは API の使用方法をツイートし、公開文書化しています。
この API を使用すると、誰でもユーザー名を送信し、ユーザーの公開プロフィール情報を含む JSON 出力を取得できます。ただし、電子メール アドレスを API にフィードし、それが有効な DuoLingo アカウントに関連付けられているかどうかを確認することもできます。
は、1 月にその悪用が DuoLingo に報告された後でも、この API が依然として Web 上で誰でも公開して利用できることを確認しました。
この API により、スクレイパーは、以前のデータ侵害で暴露された可能性がある数百万の電子メール アドレスを API に入力し、それらが DuoLingo アカウントに属しているかどうかを確認することができました。これらの電子メール アドレスは、公開情報と非公開情報を含むデータセットの作成に使用されました。
別の攻撃者は独自の API スクレイピングを共有し、フィッシング攻撃でデータを使用したい攻撃者は、DuoLingo ユーザーが通常のユーザーよりも多くの権限を持っているため、より価値のあるターゲットであることを示す特定のフィールドに注意を払う必要があると指摘しました。
API がまだ公開されている理由について質問するために DuoLingo に問い合わせましたが、この公開時点では返答はありませんでした。
スクレイピングされたデータは定期的に破棄される
企業は、たとえコンパイルが必ずしも容易ではなくても、ほとんどのデータはすでに公開されているため、スクレイピングされたデータを問題ではないと無視する傾向があります。
ただし、公開データが電話番号や電子メール アドレスなどの個人データと混在すると、公開された情報のリスクが高まり、データ保護法に違反する可能性があります。
たとえば、2021 年にFacebook は、「友達追加」API のバグが悪用されて、5 億 3,300 万人のユーザーの電話番号を Facebook アカウントにリンクさせ、大規模な情報漏洩に見舞われました。アイルランドデータ保護委員会(DPC)は後に、このスクレイピングされたデータの漏洩に対してFacebookに2億6,500万ユーロ(2億7,550万ドル)の罰金を科した。
最近では、 Twitter API のバグを利用して数百万人のユーザーの公開データと電子メール アドレスが収集され、DPC による調査が行われました。
Comments