Duolingo, una de las aplicaciones móviles para aprender inglés más populares, ha sufrido una brecha de seguridad que habría ocasionado que millones de datos de sus usuarios se hayan visto comprometidos.
Según se hace eco la web especializada en información sobre ciberseguridad Bleeping Computer, en enero de este año un hacker estaba vendiendo datos extraídos de Duolingo pertenecientes a 2.6 millones de usuarios en el extinto foro de piratería Breached.
El botín, eso sí, no era nada caro, ya que cualquiera que tuviera 1.500 dólares podía hacerse con ellos.
Los datos a los que habría tenido acceso el actor de amenazas y con los que 'mercadeaba' incluyen la combinación de inicios de sesión y nombres reales y otra información no pública, como direcciones de email y más datos relativos al servicio.
La filtración de los correos electrónicos personales resulta más preocupante, ya que los cibermalos han podido usar dichas direcciones para hacer ataques de phishing.
La culpa la tiene una API
El actor de amenazas habría obtenido los datos a través de una interfaz de programación de aplicaciones (API) expuesta.
La API permite que cualquiera envíe un nombre de usuario y recupere la salida JSON que contiene la información del perfil público del usuario. Sin embargo, también es posible introducir una dirección de correo electrónico en la API y confirmar si está asociada con una cuenta DuoLingo válida.
Desde Bleeping Computer han podido constatar que la API todavía está disponible de forma abierta incluso después de que pusieran el problema de seguridad en conocimiento de la empresa a principios de año.
La API permitió al adversario introducir millones de direcciones de email, probablemente expuestas en filtraciones de datos anteriores, en la API y confirmar si pertenecían a cuentas de DuoLingo. Estas direcciones de correo electrónico se utilizaron luego para crear el conjunto de datos que contenía información pública y no pública.
Duolingo cuenta con más de 74 millones de usuarios que cada mes utilizan sus servicios, siendo una de las mayores herramientas de aprendizaje de idiomas.