Duolingo: 2,6 Millionen Datensätze von Nutzern im Netz

Im August 2023 wurden 2,6 Millionen Datensätze, die von Duolingo gesammelt wurden, auf einem beliebten Hacking-Forum weit verbreitet. Diese Daten wurden durch die Ausnutzung einer verwundbaren API erlangt. Bereits im Januar 2023 waren die Daten zum Verkauf angeboten worden. Sie enthielten E-Mail-Adressen, Namen, die erlernten Sprachen, XP (Erfahrungspunkte) und andere mit dem Lernfortschritt auf Duolingo verbundene Informationen. Obwohl einige dieser Daten absichtlich öffentlich zugänglich sind, stellt die Möglichkeit, private E-Mail-Adressen diesen Daten zuzuordnen, weiterhin eine Gefahr für die Privatsphäre der Benutzer dar. Das Projekt haveibeenpwnd hat Nutzern nun die Möglichkeit gegeben, zu überprüfen, ob sie betroffen sind.

„Have I Been Pwned“ ist eine Website, die von Troy Hunt entwickelt wurde und Benutzern ermöglicht, zu überprüfen, ob ihre persönlichen Daten in bekannten Datenleaks und Hacks kompromittiert wurden. Indem Benutzer ihre E-Mail-Adresse oder Benutzernamen eingeben, kann die Website überprüfen, ob diese in Verbindung mit bekannten Datenschutzverletzungen bekannt sind. Wenn die eingegebenen Informationen in einem Datenleck gefunden werden, informiert „Have I Been Pwned“ die Benutzer und gibt ihnen Ratschläge, wie sie ihre Konten besser schützen können.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

18 Kommentare

  1. oh no dios

  2. „…Ratschläge, wie sie ihre Konten besser schützen können.“
    Ja klar, einmalige Passwörter, 2FA usw. sind schon hilfreich. Den Schutz der Daten auf die User abzuwälzen ist aber verkehrt: stattdessen müssen die Serverbetreiber dafür sorgen, dass die Daten sicher sind.
    Hier hat diesmal Duolingo versagt und sollte das empfindlich (finanziell) zu spüren bekommen.

    • Peter Brülls says:

      „Den Schutz der Daten auf die User abzuwälzen ist aber verkehrt: stattdessen müssen die Serverbetreiber dafür sorgen, dass die Daten sicher sind.“

      Wie bei vielen Dingen ein asymmetrisches Problem, wie bei sexueller Belästigung oder bestohlen werden in in bestimmten Situationen: Das Opfer ist zwar im Recht – moralisch und juristisch – nur nutzt es einem nichts. Insofern schließe ich mein Rad, meinen Wagen und meine Haustür ab und prüfe meine Umgebung. Ist es doof das tun zu müssen? Keine Frage.

      „Hier hat diesmal Duolingo versagt und sollte das empfindlinlicher bestraft werden.“

      Absolut. Breaches müßten automatisch zu punitive Damages führen.

      Dessen ungeachtet: Für jeden Dienst eine eigene E-Mailadresse und für die wichtigen auch ein eigenes Passwort. Sofern das Passwort eh immer nur über AutoFill aus einem Tresor kommen, dann gerne auch fdxgcvh-456768-fghj-s67sjs8

      • Mit einer eigenen E-Mail-Adresse für jeden Dienst werden die meisten Probleme haben, da kein E-Mail-Dienst so was out of the box anbietet und vor allem mit Mail-Clients integriert. Und schon gar nicht kostenlos. Ich habe Glück ein 10 Jahre altes Google-Apps-Konto zu haben, in dem es noch kostenlos ist.
        Klar, so was wie „Mit Apple anmelden“ hilft da, man hat aber wenig Kontrolle darüber und kann nicht frei eine E-Mail-Adresse wählen.

        • Ich nutze da SimpleLogin und lasse mir für jeden Login eine E-Mail erstellen welche dann zu meiner Hauptadresse weiterleitet. So was bräuchte man auch für die Handynummer und Konto. Bei Konto nur umgekehrt dann könnte man wechseln wie man lustig ist und muss dann nicht überall Bescheid geben. Dazu noch Bitwarden und Authy.

        • Bei allen Identity-Providern wie Apple, Google, Facebook, Microsoft, usw. gibst Du dafür die Kontrolle über den Account beim Drittdienst aus der Hand. Wenn Du „Mit Apple anmelden“ nutzt und dein Apple-Konto wird gesperrt, kannst Du auch die darüber genutzten Dienste nicht mehr erreichen.
          Es ist bequem und ich benutze das selber auch, aber nur für unwichtiges Zeug, wo ein eventueller Verlust nicht schmerzt.

  3. Ich finde es schade, dass man als Kunde nicht darüber informiert wurde, auch wenn man nicht direkt betroffen ist.
    Konto ist nun gekündigt.

  4. In den Datensätzen steht noch ne menge mehr drin, z.b. die Telefonnummer wenn angegeben:

    The data contains the following fields:
    Email, joinedClassroomids, Streak, Motivation, acquisition SurveyReason, shouldForceConnectPhoneNumber, Picture, learningLanguage, hasFacebookld, shake ToReportEnabled, shake ToReportEnabled, liveOps eatures, canU/seModeration Tools, id, betaStatus, hasGoogleld, privacySettings, fromLanguage, hasRecentActivity15, achievements, observedClassroomlds, username, bio, profileCountry, globalAmbassadorStatus, currentCourseld, hasPhoneNumber, creationDate, hasPlus, name, roles, classroomLeaderboards-nabled, emailVerified, courses, totalXp

    //https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/

  5. Ich hatte mir vor zwei Monaten schon die „großen“ Sprachenlern-Apps als Gedankenstütze heruntergeladen um sie dann zu vergleichen und bei einer mit dem Lernen anzufangen. DuoLingo „glänzt“ bisher wie Busuu durch App-Updates *mehrfach* pro Woche – ein übliches schäbiges Verhalten, um Apps oben auf der Downloadliste zu halten und schlechte Bewertungen tiefer rutschen zu lassen…

    • Peter Brülls says:

      Unter iOs ein Update alle 6,2 Tage über 155 Tage gerechnet

      Finde ich jetzt nicht so exzessiv, nicht jeder schnitzt liebevoll 12 Monate an einem Major Update und läßt Bus und kleine Änderungen monatelang liegen.

      • Es gibt Apps die jahrelang keine Updates benötigen weil sie einfach ausgereift sind. Und viele ach so tolle Änderungen und Neuerungen ließen sich auch serverseitig umsetzen!

  6. Meine Datensätze haben sie anscheinend nicht, denn Have I Been Pwned zeigt für die von mir bei Duolingo verwendete Email nichts an.

  7. Datensparsamkeit ist halt A und O. Dennoch muss man bei sehr vielen Diensten eine E-Mail angeben, Geburtstag, Telefonnummer und was weiß ich was noch.

    Username/Passwort sollten überall genügen. Auch hier im Forum muss es eine funktionierende E-Mail-Adresse sein. Aus „Gründen“. Warum überhaupt?

    • Es muss eine *valide* E-Mail-Adresse sein. Sie wird nie überprüft, du kannst da eintragen was du möchtest.

      • Du hast ja die Möglichkeit, Dich über neue Antworten per Mail benachrichtigen zu lassen. Dazu muss die Adresse natürlich auch erreichbar sind.
        Insofern wird sie auch indirekt überprüft.
        Aber niemand muss sein wahres Geburtsdatum, Stadt oder Telefonnummer angeben. Das wird tatsächlich nicht überprüft.

    • ein Freund behauptet das es keine Funktionierende Email sein muss

      • Wenn die eMail nicht erreichbar ist…..wie willst Du Deine Mail-Adresse bestätigen?
        Für diesen Zweck gab es Wegwerfadressen. Inzwischen werden die, aus gutem Grund, auch schon fast überall abgelehnt, da diese Adressen auch gerne von Usern genutzt werden, die sich nur registrieren, um Kommentarspam abzukippen.

  8. wird Zeit das man für sowas sehr empfindliche strafen zahlen muss. das sind keine Unfälle oder Naturkatastrophen wo man nichts tuen kann

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.