Secondo un post X ( in precedenza tweet) creato da @vx-underground, un attore di minacce ha estratto 2,6 milioni di dati utente Duolingo rubati e li ha pubblicati su una nuova versione del popolare forum di hacking Breached. La violazione è stata confermata da BleepingComputer in un recente post sul blog . E la cosa peggiore è che questi dati sono stati resi disponibili sul forum per 8 crediti del sito, per un valore di soli $ 2,13, che non è praticamente nulla.
Questi dati sono stati raccolti manipolando un bug esistente nell’API Duolingo che consentiva al malintenzionato di ottenere dettagli personali dell’utente come ID e-mail, dettagli di contatto, indirizzi e molto altro, inviando un’e-mail valida all’API.
e anche in quel caso…se gli utenti fossero avvisati in tempo e le cambiassero velocemente (le password) ridurrebbero di molto il potenziale impatto