Duolingo: Hacker veröffentlichen Daten von 2,6 Millionen Nutzern

In einem Hackerforum sind Daten von 2,6 Millionen Nutzern der Sprachen-App Duolingo aufgetaucht. Und Cyberkriminelle können noch immer auf Daten zugreifen.

Wer eine Sprache lernen will und keine Zeit hat, einen Sprachkurs zu besuchen, setzt oft auf Apps wie Babbel oder Duolingo. Doch Nutzer von Duolingo könnten möglicherweise Hackern zum Opfer gefallen sein.

Laut dem Tech-Nachrichtenportal "Bleeping Computer" sind Daten von rund 2,6 Millionen Duolingo-Nutzern in einem Hackerforum aufgetaucht. Dabei handle es sich um Informationen wie Namen, Nutzernamen und E-Mail-Adressen, aber auch App-spezifische Daten, wie etwa gelernte Sprachen. Mit den Informationen könnten Cyberkriminelle gezielte Phishing-Angriffe auf jene Nutzer starten, deren Daten in dem Forum geteilt wurden.

Tatsächlich ist das Leak nicht ganz neu. Bereits im Januar 2023 wurden Duolingo-Daten zu einem Preis von 1.500 US-Dollar (rund 1.400 Euro) in einem inzwischen gelöschten Hackerforum angeboten.

Hacker können noch immer auf Nutzerdaten zugreifen

Sicherheitsexperten fanden heraus, dass die Hacker über eine Programmierschnittstelle (API) nur unter Angabe einer E-Mail-Adresse Profilinformationen des zugehörigen Nutzers abrufen können. Laut "Bleeping Computer" soll ein Zugriff auf diese Schnittstelle noch immer möglich sein – obwohl Duolingo bereits seit Januar von der Sicherheitslücke weiß.

Durch E-Mail-Adressen, die in früheren Leaks anderer Dienste veröffentlicht worden sind, können Hacker also noch immer auf Nutzerdaten der Sprachlern-App zugreifen. Sie könnten dort zudem erkennen, ob Nutzer besondere Berechtigungen haben – die für Cyberkriminelle von höherem Wert seien könnten.

Duolingo ist eine der größten und bekanntesten Sprachlern-Apps der Welt. Laut Angaben der App-Betreiber gibt es weltweit rund 300 Millionen Nutzer.