Duolingo是一家全球知名的语言学习平台，拥有超过7400万月活跃用户。据外媒报道，该平台的260万用户数据正在一个黑客论坛上泄露。

这些被泄露的数据包括真实姓名、登录名、电子邮件地址、电话号码、社交媒体链接和其他一些内部服务信息。包含这些数据的文件最初于今年1月在一个黑客论坛上以1500美元的价格出售。现在这些信息可在另一个论坛上以2.13美元购得。

Duolingo已承认确实存在此问题，并表示这些记录是通过抓取公开的个人资料信息获取的，没有发生数据泄露或黑客攻击。其发言人表示：“没有迹象表明我们的系统已经被入侵。我们非常重视安全和隐私。”但这个说法有些问题，因为其中一些泄露的数据（如电子邮件地址）并不是公开信息。

研究人员发现问题出自Duolingo一个暴露的API（应用程序编程接口），该接口使得黑客能够通过向系统发送一个电子邮件地址或人名的请求来轻松收集个人数据。据了解，该漏洞目前尚未修复，数据仍然可以被抓取。

Approov的副总裁George McGregor批评了Duolingo的明显疏忽，并指出了几个令人担忧的地方，如API仅基于用户名提供公开个人资料，缺乏附加的验证措施。他还指出，之所以启动了自动抓取，是因为API没有后端检查以确保请求来自合法应用程序。

据了解，自2011年Duolingo建立以来，已有超过5亿人注册Duolingo账户，最近该平台每个月的活跃用户超过6000万，庞大的用户数量加剧了此事件的严重程度。

编辑：左右里

资讯来源：redhotcyber、infosecurity-magazine

转载请注明出处和本文链接