Con la información que los cibercriminales han obtenido podrían lanzar ataques de ‘phishing’, para engañar a la víctima y obtener información sensible y confidencial como credenciales de servicios digitales, o robar dinero
Un fallo en la interfaz de programación de aplicaciones (API) de Duolingo permitió el acceso a información pública pero también al correo electrónico de 2,6 millones de usuarios de la aplicación de aprendizaje de idiomas, que ahora se ha puesto de nuevo a la venta con el potencial de usarse en ataques cibernéticos.
La base de datos que se ha puesto a la venta de nuevo ahora apareció ya en enero en un foro clandestino, donde se ofrecía por 1.500 dólares. Entonces, Duolingo descartó la idea de un ‘hackeo’ a su plataforma, alegando que se trataba de información pública que un actor malicioso había obtenido a partir de datos robados en otros incidentes de seguridad.
En concreto, contenía nombres de usuario, cursos realizados, correos electrónicos, números de teléfono e información sobre el uso de la plataforma de 2,6 millones de usuarios. Sin embargo, y como han apuntado en Bleeping Computer, algunos datos no eran públicos, como ocurre con los ‘emails’.
Esos datos se pudieron conseguir por un fallo o ‘bug’ en la API de Duolingo, lo que permitió a un actor malicioso introducir un ‘email’ obtenido en otro ‘hackeo’ para acceder información sobre el usuario de la aplicación de idiomas. Según ha indicado el colectivo de ciberseguridad VX Underground, este fallo sigue sin solucionarse, pese a que la responsable de la ‘app’ sabe de él desde enero.
La base de datos se vende ahora por unos 2,13 dólares y con la información que contiene se pueden lanzar ataques de ‘phishing’, en los que un actor malicioso suplanta una fuente legítima, como un banco, para engañar a la víctima y obtener información sensible y confidencial como credenciales de servicios digitales, o robar dinero.
Desde VX Underground también apuntan a ataques de ‘doxing’, que apela a una práctica de investigación y publicación de información privada en Internet sobre un individuo o una organización, generalmente con el propósito de intimidar, humillar o amenazar.