Secondo un post X ( in precedenza tweet) creato da @vx-underground, un attore di minacce ha estratto 2,6 milioni di dati utente Duolingo rubati e li ha pubblicati su una nuova versione del popolare forum di hacking Breached. La violazione è stata confermata da BleepingComputer in un recente post sul blog . E la cosa peggiore è che questi dati sono stati resi disponibili sul forum per 8 crediti del sito, per un valore di soli $ 2,13, che non è praticamente nulla.
Questi dati sono stati raccolti manipolando un bug esistente nell’API Duolingo che consentiva al malintenzionato di ottenere dettagli personali dell’utente come ID e-mail, dettagli di contatto, indirizzi e molto altro, inviando un’e-mail valida all’API.
una violazione dei sistemi informatici è sempre grave, ma secondo me nel caso specifico potrebbe avere rilevanza limitata rispetto ad altri data breach, visto che molti partecipano con nicknames, senza foto e magari utilizzando indirizzi email secondari/alias. Forse effettivamente il valore dei dati estratti non è molto
Decisamente d’accordo. Ci sono data breach molto più “Imponenti” e “pericolosi” di altri. In fondo le informazioni che si possono ricavare sono minime, finché non trafugano le password in chiaro, s’intende.
e anche in quel caso…se gli utenti fossero avvisati in tempo e le cambiassero velocemente (le password) ridurrebbero di molto il potenziale impatto