Dados pertencentes a 2,6 milhões de utilizadores da plataforma Duolingo, atualmente o maior aplicativo de aprendizado de idiomas, foram indevidamente divulgados em um fórum frequentado por cibercriminosos. Essa extensa coleção de informações inclui nomes, credenciais de acesso, endereços de e-mail, nacionalidades e outros detalhes relativos à utilização da plataforma. Informações sobre os idiomas estudados, aulas frequentadas e outras métricas ligadas ao processo de aprendizado também fazem parte desse conjunto.
Esse acervo aparenta ter sido obtido através da prática de “raspagem de dados”, que envolve a extração em larga escala de informações por meio da exploração de uma API (Interface de Programação de Aplicativos) que apresentava vulnerabilidades. Especialistas em segurança identificaram essa fragilidade no sistema em março do ano atual. Ainda que essas informações fossem originalmente acessíveis publicamente, estando disponíveis nos perfis individuais dos usuários do Duolingo, aqui elas são apresentadas em uma lista consolidada, que pode ser explorada para atividades criminosas no mundo online.
Os dados contêm os seguintes campos:
Abaixo está uma amostra de 1.000 contas para vocês darem uma olhada. Se estiver interessado em comprar, entre em contato comigo por uma das plataformas indicadas abaixo deste post.”
A gravidade desse vazamento se manifestou quando, no início deste ano, os detalhes foram oferecidos à venda em um fórum dedicado ao cibercrime, por um preço de US$ 1,5 mil, equivalente a cerca de R$ 7,4 mil. Esse fórum, porém, foi extinto desde então. Atualmente, esses dados estão sendo comercializados em outro espaço virtual do mesmo tipo, porém a um valor significativamente menor, de cerca de US$ 2 ou cerca de R$ 10 em créditos utilizados pelos criminosos para seus próprios fins. Não há informações confirmadas sobre a realização de vendas nesse novo contexto.
O Duolingo admitiu no começo deste ano que as informações vazadas correspondem de fato aos detalhes dos seus usuários. A empresa ressaltou, no entanto, que tais informações eram acessíveis ao público e podiam ser visualizadas nos perfis individuais. Essa afirmação, entretanto, não se aplica aos endereços de e-mail dos usuários, os quais teriam sido associados às contas na plataforma por meio de outros vazamentos de informações, devido à vulnerabilidade na API que permitia a vinculação desses endereços aos cadastros.
Esse incidente se encaixa no padrão comum de ataques que envolvem a raspagem de dados, sendo direcionados à obtenção de informações valiosas para a realização de ataques de phishing. Ao ter acesso a métricas de uso e outros registros relacionados à utilização do Duolingo ou de serviços similares, cibercriminosos podem criar abordagens de contato fraudulentas mais convincentes, potencialmente se passando pela própria plataforma de ensino de idiomas ou prometendo ofertas falsas aos clientes.
Além disso, observações feitas em discussões no fórum dedicado ao cibercrime, onde os detalhes foram originalmente publicados, indicam que há registros referentes às permissões concedidas pelos usuários nos sistemas do Duolingo. Isso sugere que os criminosos podem ter acesso a contas consideradas mais “interessantes”, como aquelas associadas a professores, moderadores, administradores ou funcionários da empresa.
Não houve um novo posicionamento por parte do Duolingo sobre esse acontecimento. Adicionalmente, informações provenientes do site Bleeping Computer apontam para a continuidade da vulnerabilidade na API utilizada para a raspagem de dados, o que significa que a coleta dessas informações ainda é possível dessa maneira. Por último, o conhecido site “Have I Been Pwned” incluiu o volume de dados vazados proveniente do serviço de ensino de idiomas em sua base de dados, permitindo que os usuários verifiquem se suas informações foram comprometidas.