Los usuarios de la aplicación del simpático pajarito verde para aprender idiomas quizás quieran prestarle atención al último acontecimiento en materia de ciberseguridad, pues resulta y acontece que los datos minados de 2,6 millones de usuarios de DuoLingo están a la venta través de un conocido foro de Hackers.
Esta historia en realidad se remonta a enero de 2023, cuando en un ahora difunto sitio de hackers alguien de pocos escrúpulos estaba vendiendo los datos extraídos de 2,6 millones de usuarios de la app DuoLingo.
Entre la data extraída se cuentan datos públicos, pero también privados, como por ejemplo nombres reales y direcciones de correo electrónico. Esto es algo verdaderamente preocupante para los usuarios, pues como bien sabrán, tener la dirección de email puede prestarse para ataques de Phishing.
Los datos extraídos de Duolingo vuelven a estar a la venta
Con todo eso en mente, es su momento no se le dio tanta importancia a la situación, pues la mayoría de los datos eran de naturaleza pública y Duolingo prometió investigar el asunto y tomar las precauciones necesarias. Adelantando la cinta a agosto de 2023 y nos encontramos otra vez con la sorpresa de que los datos recolectados están a la venta en un nuevo foro de hackers, esta vez por el módico precio de solo 2.13 dólares.
Más importante todavía, un ojo avizor en X que va por el nombre de @vxunderground logró identificar la causa de esta brecha de datos. Entrando en detalles, todo se debe a un bug en una de las API (interfaz de programación de aplicaciones) de Duolingo, que básicamente permite a cualquiera con los conocimientos necesarios enviar un nombre de usuario y recuperar la salida JSON que contiene la información del perfil público del usuario.
En otras palabras, se pueden aprovechar de la API al enviar un email válido (probablemente extraído de otra brecha de datos) y dejar que esta confirme si está asociada con una cuenta de DuoLingo. Para agravar la situación todavía más, se sabe que dicha API está disponible abiertamente desde al menos marzo de 2023.
Encima de todo eso, el equipo de investigación Cybernews descubrió que es posible extraer más que la información pública usando ese metódo; hablamos de datos sensibles como localización, avatar público o foto.
Sea como sea, Duolingo necesita tomar cartas en el asunto, pero hasta ahora la respuesta oficial es que no hay evidencia de que sus sistemas hayan sido comprometidos, pero que seguirán investigando el asunto para determinar si es necesario alguna acción adicional.
Vía | Cybernews
