Duolingo: 2,6 Millionen Datensätze von Nutzern im Netz
von caschy | 18 Kommentare
Im August 2023 wurden 2,6 Millionen Datensätze, die von Duolingo gesammelt wurden, auf einem beliebten Hacking-Forum weit verbreitet. Diese Daten wurden durch die Ausnutzung einer verwundbaren API erlangt. Bereits im Januar 2023 waren die Daten zum Verkauf angeboten worden. Sie enthielten E-Mail-Adressen, Namen, die erlernten Sprachen, XP (Erfahrungspunkte) und andere mit dem Lernfortschritt auf Duolingo verbundene Informationen. Obwohl einige dieser Daten absichtlich öffentlich zugänglich sind, stellt die Möglichkeit, private E-Mail-Adressen diesen Daten zuzuordnen, weiterhin eine Gefahr für die Privatsphäre der Benutzer dar. Das Projekt haveibeenpwnd hat Nutzern nun die Möglichkeit gegeben, zu überprüfen, ob sie betroffen sind.
„Have I Been Pwned“ ist eine Website, die von Troy Hunt entwickelt wurde und Benutzern ermöglicht, zu überprüfen, ob ihre persönlichen Daten in bekannten Datenleaks und Hacks kompromittiert wurden. Indem Benutzer ihre E-Mail-Adresse oder Benutzernamen eingeben, kann die Website überprüfen, ob diese in Verbindung mit bekannten Datenschutzverletzungen bekannt sind. Wenn die eingegebenen Informationen in einem Datenleck gefunden werden, informiert „Have I Been Pwned“ die Benutzer und gibt ihnen Ratschläge, wie sie ihre Konten besser schützen können.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
oh no dios
„…Ratschläge, wie sie ihre Konten besser schützen können.“
Ja klar, einmalige Passwörter, 2FA usw. sind schon hilfreich. Den Schutz der Daten auf die User abzuwälzen ist aber verkehrt: stattdessen müssen die Serverbetreiber dafür sorgen, dass die Daten sicher sind.
Hier hat diesmal Duolingo versagt und sollte das empfindlich (finanziell) zu spüren bekommen.
„Den Schutz der Daten auf die User abzuwälzen ist aber verkehrt: stattdessen müssen die Serverbetreiber dafür sorgen, dass die Daten sicher sind.“
Wie bei vielen Dingen ein asymmetrisches Problem, wie bei sexueller Belästigung oder bestohlen werden in in bestimmten Situationen: Das Opfer ist zwar im Recht – moralisch und juristisch – nur nutzt es einem nichts. Insofern schließe ich mein Rad, meinen Wagen und meine Haustür ab und prüfe meine Umgebung. Ist es doof das tun zu müssen? Keine Frage.
„Hier hat diesmal Duolingo versagt und sollte das empfindlinlicher bestraft werden.“
Absolut. Breaches müßten automatisch zu punitive Damages führen.
Dessen ungeachtet: Für jeden Dienst eine eigene E-Mailadresse und für die wichtigen auch ein eigenes Passwort. Sofern das Passwort eh immer nur über AutoFill aus einem Tresor kommen, dann gerne auch fdxgcvh-456768-fghj-s67sjs8
Mit einer eigenen E-Mail-Adresse für jeden Dienst werden die meisten Probleme haben, da kein E-Mail-Dienst so was out of the box anbietet und vor allem mit Mail-Clients integriert. Und schon gar nicht kostenlos. Ich habe Glück ein 10 Jahre altes Google-Apps-Konto zu haben, in dem es noch kostenlos ist.
Klar, so was wie „Mit Apple anmelden“ hilft da, man hat aber wenig Kontrolle darüber und kann nicht frei eine E-Mail-Adresse wählen.
Ich nutze da SimpleLogin und lasse mir für jeden Login eine E-Mail erstellen welche dann zu meiner Hauptadresse weiterleitet. So was bräuchte man auch für die Handynummer und Konto. Bei Konto nur umgekehrt dann könnte man wechseln wie man lustig ist und muss dann nicht überall Bescheid geben. Dazu noch Bitwarden und Authy.
Bei allen Identity-Providern wie Apple, Google, Facebook, Microsoft, usw. gibst Du dafür die Kontrolle über den Account beim Drittdienst aus der Hand. Wenn Du „Mit Apple anmelden“ nutzt und dein Apple-Konto wird gesperrt, kannst Du auch die darüber genutzten Dienste nicht mehr erreichen.
Es ist bequem und ich benutze das selber auch, aber nur für unwichtiges Zeug, wo ein eventueller Verlust nicht schmerzt.
Ich finde es schade, dass man als Kunde nicht darüber informiert wurde, auch wenn man nicht direkt betroffen ist.
Konto ist nun gekündigt.
In den Datensätzen steht noch ne menge mehr drin, z.b. die Telefonnummer wenn angegeben:
The data contains the following fields:
Email, joinedClassroomids, Streak, Motivation, acquisition SurveyReason, shouldForceConnectPhoneNumber, Picture, learningLanguage, hasFacebookld, shake ToReportEnabled, shake ToReportEnabled, liveOps eatures, canU/seModeration Tools, id, betaStatus, hasGoogleld, privacySettings, fromLanguage, hasRecentActivity15, achievements, observedClassroomlds, username, bio, profileCountry, globalAmbassadorStatus, currentCourseld, hasPhoneNumber, creationDate, hasPlus, name, roles, classroomLeaderboards-nabled, emailVerified, courses, totalXp
//https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/
Ich hatte mir vor zwei Monaten schon die „großen“ Sprachenlern-Apps als Gedankenstütze heruntergeladen um sie dann zu vergleichen und bei einer mit dem Lernen anzufangen. DuoLingo „glänzt“ bisher wie Busuu durch App-Updates *mehrfach* pro Woche – ein übliches schäbiges Verhalten, um Apps oben auf der Downloadliste zu halten und schlechte Bewertungen tiefer rutschen zu lassen…
Unter iOs ein Update alle 6,2 Tage über 155 Tage gerechnet
Finde ich jetzt nicht so exzessiv, nicht jeder schnitzt liebevoll 12 Monate an einem Major Update und läßt Bus und kleine Änderungen monatelang liegen.
Es gibt Apps die jahrelang keine Updates benötigen weil sie einfach ausgereift sind. Und viele ach so tolle Änderungen und Neuerungen ließen sich auch serverseitig umsetzen!
Meine Datensätze haben sie anscheinend nicht, denn Have I Been Pwned zeigt für die von mir bei Duolingo verwendete Email nichts an.
Datensparsamkeit ist halt A und O. Dennoch muss man bei sehr vielen Diensten eine E-Mail angeben, Geburtstag, Telefonnummer und was weiß ich was noch.
Username/Passwort sollten überall genügen. Auch hier im Forum muss es eine funktionierende E-Mail-Adresse sein. Aus „Gründen“. Warum überhaupt?
Es muss eine *valide* E-Mail-Adresse sein. Sie wird nie überprüft, du kannst da eintragen was du möchtest.
Du hast ja die Möglichkeit, Dich über neue Antworten per Mail benachrichtigen zu lassen. Dazu muss die Adresse natürlich auch erreichbar sind.
Insofern wird sie auch indirekt überprüft.
Aber niemand muss sein wahres Geburtsdatum, Stadt oder Telefonnummer angeben. Das wird tatsächlich nicht überprüft.
ein Freund behauptet das es keine Funktionierende Email sein muss
Wenn die eMail nicht erreichbar ist…..wie willst Du Deine Mail-Adresse bestätigen?
Für diesen Zweck gab es Wegwerfadressen. Inzwischen werden die, aus gutem Grund, auch schon fast überall abgelehnt, da diese Adressen auch gerne von Usern genutzt werden, die sich nur registrieren, um Kommentarspam abzukippen.
wird Zeit das man für sowas sehr empfindliche strafen zahlen muss. das sind keine Unfälle oder Naturkatastrophen wo man nichts tuen kann