Wielki wyciek danych z popularnej aplikacji. Dane 2,6 mln użytkowników wystawione na sprzedaż
Przyzwyczailiśmy się już do tego, że nawet w przypadku największych i najbardziej popularnych aplikacji i portali co jakiś mamy do czynienia z wyciekami danych użytkowników. Niemniej rzadko dochodzi do sytuacji, w której liczbę wyciekłych rekordów liczy się w milionach. Niestety, taka miała właśnie miejsce, a incydent związany jest z aplikacją, którą pobrały setki milionów użytkowników i jest niezwykle popularna także w Polsce.
Przekleństwo wycieków danych
Można było mieć nadzieję, że wejście w życie RODO wymusi na administratorach danych wprowadzenie mechanizmów skutecznej ochrony danych swoich klientów. Groźba gigantycznych kar przyniosła swoje pozytywne skutki, jednak w przypadku zabezpieczania infrastruktury informatycznej nigdy nie możemy mieć stuprocentowej gwarancji bezpieczeństwa . Właśnie przekonali się o tym twórcy i użytkownicy bodaj najpopularniejszej aplikacji służącej do nauki języków obcych, Duolingo.
Na jednym z darknetowych forów pojawiła się oferta sprzedaży danych 2,6 mln użytkowników Duolingo. To dla hakerów standardowa procedura – najpierw, w tym przypadku w ramach tzw. scrapingu, pozyskują dane lub kompilują je z różnych źródeł, by potem w większych paczkach sprzedawać je innym. Zastosowanie w ten sposób dystrybuowanych danych jest następnie zależne od zakresu pozyskanych danych – w skrajnych przypadkach, tj. gdy w bazie znajdowały się niezabezpieczona hasła, może dojść nawet do całkowitego przejęcia kont i dołączenia ich do sieci botnetowych.
Dane 2,6 mln użytkowników Duolingo na sprzedaż
Na szczęście w przypadku najnowszego wycieku danych z Duolingo nie mamy do czynienia z tak pesymistycznym scenariuszem . Według wstępnych ustaleń zawiniło wadliwe API (w uproszczeniu jest to interfejs pozwalający aplikacjom pozyskiwanie danych z innych aplikacji), dzięki któremu napastnikom udało się do publicznych i prywatnych danych użytkowników Duolingo.
Dobre wieści są takie, że wśród pozyskanych informacji nie znalazły się hasła użytkowników. Złe – na sprzedaż, oprócz publicznych danych, jak stosowany w Duolingo login czy zdobyte osiągnięcia, wystawione zostały imiona i nazwiska i adresy mailowe . Oferowana baza składa się w dużej części z informacji, które zostały pozyskane z Duolingo już wcześniej – pierwsze próby sprzedaży miały miejsce już w styczniu tego roku – jednak wówczas oferta szybko została usunięta.
Jakie jest zagrożenie?
W momencie opracowywania artykułu bazę 2,6 mln użytkowników nadal można zdobyć na aukcji – cena wywoławcza to zaledwie 1,5 tys. dolarów, czyli niecałe 6,2 tys. złotych . Sprzedający udostępnia nawet darmową próbkę zawierającą danych tysiąca użytkowników, która ma świadczyć o autentyczności zgromadzonych przez niego danych. Na podstawie dotychczas przeanalizowanych informacji można już teraz wyciągnąć wniosek, że mamy do czynienia z danymi prawdziwych użytkowników.
Duolingo zostało pobrane ponad 500 mln razy, przy czym ponad 50 mln użytkowników korzysta z aplikacji aktywnie, przynajmniej raz w miesiącu. Nieco ponad 2,5 mln rekordów może się więc wydawać stosunkowo niewielką liczbą, zwłaszcza że trudno stwierdzić, aby wyciek informacji o postępach w nauce angielskiego stanowił krytyczne zagrożenie . Niemniej łączenie w obrębie jednego rekordu imienia i nazwiska z adresem mailowym może być w przyszłości wykorzystywane w kampaniach spamowych.
Czy moje dane zostały skradzione?
Użytkownikom Duolingo, którzy obawiają się, że ich dane trafiły na sprzedaż, zalecamy skorzystanie ze strony haveibeenpwned.com . To bezpieczny sposób na zweryfikowanie, czy dany adres mailowy znalazł się w dotychczasowych wyciekach, a baza została już zaktualizowana o rekordy wykradzione z bazy Duolingo. Wystarczy wprowadzić adres mailowy wykorzystywany do rejestracji w aplikacji, by uzyskać stosowne informacje.
