Az adatok még januárban kerültek fel a mára már bezárt fórumra, és 1500 dollárt – körülbelül 520 000 forintot – kértek érte, és a csomagban szerepeltek valódi és felhasználói nevek, e-mail-címek, valamint a Duolingo szolgáltatással összefüggő egyéb adatok is – írja a Bleeping Computer.

A januári eset után a Duolingo a The Record érdeklődésére megerősítette, hogy a megszerzett adatokat a támadók nyilvános profiladatokból nyerték ki, és vizsgálták, hogy kell-e további intézkedéseket tenni. A nevezett adatok egy új hackerfórumon azonban a napokban újból feltűntek – szinte ingyen.

Az adatokat – részletezi a Bleeping Computer – egy nyitott API-n (alkalmazásprogramozási interfészen) nyerték ki, melynek segítségével gyakorlatilag bárki lekérdezheti a Duolingo nyilvános profiladatait. Bár az e-mail-címek nem nyilvános adatok, az API-ba be lehet táplálni e-mail-címeket, és vissza tudja igazolni az API, hogy az egyes címek társítva vannak-e Duolingo-fiókokkal. (Ez nem egyesével történik, hanem más forrásból kinyert e-mail címek tömegével próbálkozhatnak.)

Több millió felhasználó érzékeny adatait szivárogtatta ki egy neten elbújós, ingyenes VPN-szolgáltatás

Célszerű lehet újragondolni az ingyenes VPN-ek használatát, miután a SuperVPN-től gyakorlatilag minden olyan adat kiszivárgott, amit valaki egy VPN-nel el akar rejteni.

Ez az API mai napig elérhető, és működik a lap szerint, annak ellenére is, hogy már a januári incidenst követően jelentették a problémát a Duolingónak. A szolgáltatás üzemeltetői nem reagáltak a Bleeping Computer kérdéseire, hogy miért érhető el még mindig a problémás API.

Az ilyen, úgynevezett „adatkaparással” (data scraping) sokszor nem foglalkoznak a cégek, lévén a kinyert adatok zöme már eleve publikus – még ha nem is feltétlenül a nyilvánosságnak szánják ilyen formában. Hasonló eset miatt kapott már adatvédelmi bírságot például a Facebook is.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.