En un foro hacker se puso a la venta una base de datos que contenía datos personales de 2.6 millones de usuarios de Duolingo.

Duolingo, la aplicación para aprendizaje de idiomas la cual cuenta con más de 74 millones de usuarios activos en todo el mundo, sufrió un ciberataque y se filtró información de algunos de sus usuarios.

Un hacker compartió la base de datos al foro pirata de Bleeping Computer -el cual ya está cerrado- y lo puso a la venta por mil 500 dólares desde enero de este 2023.

Sin bien es cierto que la mayoría de información que se reveló son los nombre y usuarios de los suscriptores -la cual está pública-, también se reveló los correos electrónicos de los usuarios los cuales no están públicos y pueden ser objeto de phishing.

¿Cómo ocurrió el hackeo?

De acuerdo con medios especializados el pirata informático identificó un error en la API de Duolingo lo que le permitió obtener información del usuario de la aplicación.

Dicha información incluía también los correos electrónicos aunque para obtenerlos el hacker utilizó la API para verificar que los correos electrónicos estén asociados a las cuentas activas de los suscriptores de la app.

En redes sociales se ha expuesto que la API aún está disponible -desde marzo de este año- en la web para que cualquier internauta pueda hacer uso de ella. aún y cuando se ha denunciado que ha sido usada para hackear.

Sobre el hecho, Duolingo aceptó que se filtró información que está pública como el nombre de usuario, pero no agregó que los correos electrónicos también se filtraron.