2.6백만명의 DuoLingo 사용자 데이터가 해킹 포럼에 유출되었습니다. 유출된 데이터는 퍼블릭 로그인과 실명, 그리고 이메일 주소와 같은 비공개 정보, DuoLingo 서비스와 관련된 내부 정보가 포함되어 있었습니다. 이 데이터는 이제 폐쇄된 Breached 해킹 포럼에서 1,500달러에 판매되었습니다.

해킹 포럼에서는 이 데이터가 퍼블릭 프로필 정보에서 스크래핑된 것이라고 본 적이 있으며, 이에 대해 DuoLingo는 추가적인 조치를 취해야 할지 여부를 조사하겠다고 밝혔습니다.

그러나 이메일 주소가 데이터에 포함되어 있음에도 불구하고, DuoLingo는 이에 대해 제대로 언급하지 않았습니다. 이렇게 해서 데이터는 8개의 사이트 크레딧, 약 2.13달러에 팔렸습니다. 이 과정에서 이므로 사용자 데이터를 공개하고 비공개하는 API가 악용되었고, 이 API를 악용하여 수백만 개의 이메일 주소를 가져올 수 있었습니다.

BleepingComputer는 이 API가 여전히 인터넷에서 공개적으로 접근 가능하며, DuoLingo에 악용 보고 후에도 그대로인 것을 확인했습니다.

스크래핑된 데이터를 가볍게 여기는 회사들이 많지만, 여기에는 퍼블릭 데이터와 개인 데이터, 이메일 주소나 전화번호 같은 비공개 정보가 섞여 있을 때 더 많은 위험성과 추적 될 가능성, 그리고 데이터 보호법을 위반할 가능성이 있습니다. 2021년에는 Facebook이 이렇게 스크랩된 데이터를 유출하면서 큰 손실을 입었습니다.

요약

- 2.6백만명의 DuoLingo 사용자 데이터가 유출되어 해킹 포럼에서 판매되었다.
- 이메일 주소 데이터는 이 데이터가 퍼블릭 프로필 정보에 포함되어 있음에도 불구하고, DuoLingo가 공식적으로 언급하지 않았다.
- 이메일 정보를 가져올 수 있는 API가 악용되었으며, 이 API는 여전히 인터넷에서 공개적으로 이용 가능하다.
- 퍼블릭 데이터와 이메일 주소나 전화번호와 같은 개인 데이터가 섞여 있을 때 더 큰 위험성이 있다.
- Facebook이 이런 데이터를 유출하며 큰 손실을 입은 사례가 있으며, 이와 비슷한 상황이 DuoLingo에서 발생하고 있다.

Reference

https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*