Een hacker heeft de hand weten te leggen op persoonlijke gegevens van 2,6 miljoen Duolingo-gebruikers. Deze data worden te koop aangeboden op een hackersforum. Het taalplatform zegt hiervan op de hoogte te zijn en benadrukt dat er geen sprake is van een datalek.
Dat bevestigt een woordvoerder tegenover The Record (1).
Het medium stuitte op een post op een hackersforum. Daar bood iemand een dataset aan die bestond uit persoonlijke informatie van 2,6 miljoen Duolingo-klanten. De database bevatte naar eigen zeggen e-mailadressen, telefoonnummers en gevolgde taalcursussen. Voor deze gegevens vroeg hij 1.500 dollar.
The Record nam contact op met Duolingo en vroeg of er klantgegevens waren gestolen. Een woordvoerder van het bedrijf vertelde dat hij op de hoogte was van het bericht op het hackersforum. Hij benadrukte dat zijn bedrijf niet het doelwit was van een cyberaanval en dat er geen sprake is van een datalek.
“Er heeft geen datalek of hack plaatsgevonden. We nemen dataprivacy en -beveiliging serieus en blijven deze zaak onderzoeken om te bepalen of er verdere actie nodig is om onze cursisten te beschermen”, aldus de woordvoerder.
Volgens hem zijn de gebruikersgegevens bemachtigd door middel van scraping. Daarbij wordt software gebruikt om zo veel mogelijk persoonlijke gegevens van mensen te verzamelen. Deze informatie is veelal afkomstig uit openbare bronnen als sociale media, blogs en persoonlijke websites.
Scraping is een fenomeen dat we regelmatig tegenkomen in de techwereld. De Data Protection Commission (DPC) legde Meta eind vorig jaar een boete van 265 miljoen euro op voor het lekken van privégegevens van 533 miljoen Facebook-gebruikers. Voor- en achternamen, woonplaatsen, geboortedata, geslacht, telefoonnummers, e-mailadressen en andere persoonlijke data werden daarbij buitgemaakt. Uit interne communicatie bleek dat Facebook scraping probeerde af te schilderen als een sectorprobleem.
Naast Meta kregen LinkedIn en Clubhouse in het verleden ook te maken met scraping. Bij het sollicitatie- en netwerkplatform werden de gegevens van ruim een half miljard gebruikers gestolen, bij Clubhouse ging het om de privégegevens van 1,3 miljoen gebruikers.
https://therecord.media/duolingo-investigating-dark-web-post-offering-data-from-2-6-million-accounts/
