Un fallo en la interfaz de programación de aplicaciones (API) de Duolingo permitió el acceso a información pública pero también al correo electrónico de 2,6 millones de usuarios de la aplicación de aprendizaje de idiomas, que ahora se ha puesto de nuevo a la venta con el potencial de usarse en ataques cibernéticos.
La base de datos que se ha puesto a la venta de nuevo ahora apareció ya en enero en un foro clandestino, donde se ofrecía por 1.500 dólares. Entonces, Duolingo descartó la idea de un ‘hackeo’ a su plataforma, alegando que se trataba de información pública que un actor malicioso había obtenido a partir de datos robados en otros incidentes de seguridad.
MIRA: Ataques DDoS: ¿qué son y por qué financiarlos podría costar hasta cientos o miles de dólares por día?
En concreto, contenía nombres de usuario, cursos realizados, correos electrónicos, números de teléfono e información sobre el uso de la plataforma de 2,6 millones de usuarios. Sin embargo, y como han apuntado en Bleeping Computer, algunos datos no eran públicos, como ocurre con los ‘emails’.
Esos datos se pudieron conseguir por un fallo o ‘bug’ en la API de Duolingo, lo que permitió a un actor malicioso introducir un ‘email’ obtenido en otro ‘hackeo’ para acceder información sobre el usuario de la aplicación de idiomas. Según ha indicado el colectivo de ciberseguridad VX Underground, este fallo sigue sin solucionarse, pese a que la responsable de la ‘app’ sabe de él desde enero.
La base de datos se vende ahora por unos 2,13 dólares y con la información que contiene se pueden lanzar ataques de ‘phishing’, en los que un actor malicioso suplanta una fuente legítima, como un banco, para engañar a la víctima y obtener información sensible y confidencial como credenciales de servicios digitales, o robar dinero.
Desde VX Underground también apuntan a ataques de ‘doxing’, que apela a una práctica de investigación y publicación de información privada en Internet sobre un individuo o una organización, generalmente con el propósito de intimidar, humillar o amenazar.
VIDEO RECOMENDADO
TE PUEDE INTERESAR
- Meta implementará el cifrado de encriptación de extremo a extremo en Messenger
- The Game Awards 2023 premiará a los mejores juegos del año el 7 de diciembre
- India se convierte en el primer país en lograr alunizar en el Polo Sur de la Luna
- Microsoft vende los derechos de los juegos en la nube de Activision Blizzard a Ubisoft
Contenido sugerido
Contenido GEC