Duolingo descartó, la primera vez, la idea de un hackeo a su plataforma y alegó que se trataba de información pública que un actor malicioso había obtenido a partir de datos robados en otros incidentes.
Un fallo en la interfaz de programación de aplicaciones (API) de Duolingo permitió el acceso a información pública pero también al correo electrónico de 2,6 millones de usuarios de la aplicación de aprendizaje de idiomas, que ahora se ha puesto de nuevo a la venta con el potencial de usarse en ataques cibernéticos.
La base de datos que ahora se ha puesto a la venta de nuevo, apareció en enero en un foro clandestino, donde se ofrecía por US$1.500.
Entonces, Duolingo descartó la idea de un hackeo a su plataforma, alegando que se trataba de información pública que un actor malicioso había obtenido a partir de datos robados en otros incidentes de seguridad.
En concreto, contenía nombres de usuario, cursos realizados, correos electrónicos, números de teléfono e información sobre el uso de la plataforma de 2,6 millones de usuarios. Sin embargo, y como han apuntado en Bleeping Computer, algunos datos no eran públicos, como ocurre con los emails.
Esos datos se pudieron conseguir por un fallo o bug en la API de Duolingo, lo que permitió a un actor malicioso introducir un email obtenido en otro hackeo para acceder información sobre el usuario de la aplicación de idiomas. Según ha indicado el colectivo de ciberseguridad VX Underground, este fallo sigue sin solucionarse, pese a que la responsable de la app sabe de él desde enero.
La base de datos se vende ahora por unos US$2,13 y con la información que contiene se pueden lanzar ataques de phishing, en los que un actor malicioso suplanta una fuente legítima, como un banco, para engañar a la víctima y obtener información sensible y confidencial como credenciales de servicios digitales, o robar dinero.
Desde VX Underground también apuntan a ataques de doxing, que apela a una práctica de investigación y publicación de información privada en Internet sobre un individuo o una organización, generalmente con el propósito de intimidar, humillar o amenazar.
Descubre más desde TEKIOS
Suscríbete y recibe las últimas entradas en tu correo electrónico.
