Mais de 2,5 milhões de contas do DuoLingo podem ter vazado na dark web
Comunicado da empresa de idiomas afirma que ela está investigando postagens anunciando a venda de dados: DuoLingo nega qualquer invasãoBy - Rafael Arbulu, 30 janeiro 2023 às 16:35
A empresa de idiomas DuoLingo disse, por meio de um porta-voz, ter tomado conhecimento de um post veiculado em fóruns da dark web, no qual o autor afirma ter vários dados de 2,6 milhões de clientes pelo valor de US$ 1,5 mil (R$ 7,67).
De acordo com a companhia, que oferece o app homônimo para ensinar novos idiomas, os supostos dados incluem nomes, e-mails, números de celular e até quais idiomas foram estudados. Sem reconhecer a veracidade das informações, o time de segurança do DuoLingo disse que não houve qualquer quebra em sua segurança, e que os hackers – se estiverem de fato de posse das informações – as obtiveram por meio de bases de dados públicas.
“Nenhum hack ou violação de dados ocorreu. Nós levamos a privacidade das informações e segurança bem a sério e estamos continuamente investigando essa situação, a fim de determinar se há a necessidade de qualquer tomada de ação para proteger os nossos alunos” – DuoLingo
Na postagem identificada (via The Record), os hackers dizem ter obtido as informações referidas por meio de uma API exposta contendo registros públicos de usuários do aplicativo. Eles também ofereceram uma “amostra” com alguns dados da base.
O processo de varredura de dados via API exposta tem um nome – scraping, algo como “raspagem” na tradução mais livre. Essencialmente, ferramentas automatizadas de varredura são empregadas por hackers para pesquisar bases de dados expostas nessas APIs. As partes fechadas tendem a ser ignoradas, mas algumas são abertas para o público.
Tal manobra vem se tornando uma dor de cabeça para as empresas de tecnologia: neste mês, a Meta (dona do Facebook, WhatsApp e Instagram) processou um serviço de vigilância chamado Voyager Labs por supostamente ter criado uma ferramenta com essas capacidades, no intuito de criar perfis falsos nas plataformas da empresa, bem como algumas concorrentes, como o LinkedIn.
Vale citar: a Voyager Labs não é nenhuma “startup excessivamente empolgada”, mas uma empresa sólida que tem, entre seus clientes, o próprio governo dos Estados Unidos.
Ainda falando da Meta, em outubro de 2021, o grupo liderado por Mark Zuckerberg também abriu uma ação contra um homem na Ucrânia, por ele ter sido identificado como autor de algumas campanhas de scraping, expondo dados de quase 180 milhões de usuários do Facebook.
O DuoLingo ainda não informou quando a sua investigação interna trará frutos, mas prometeu atualizações conforme a necessidade de endereçar o problema se justificar.
Comentários