2,6 Millionen Datensätze von Duolingo-Nutzern bei Have I Been Pwned

Das Projekt Have I Been Pwned hat der ohnehin umfangreichen Sammlung von Datenlecks weitere 2,6 Millionen Datensätze hinzugefügt, die beim Sprachenlern-Dienstleister Duolingo entwendet wurden. Im digitalen Untergrund wurden sie Anfang dieses Jahres zum Kauf angeboten. Die Datendiebe haben offenbar eine verwundbare API missbraucht, um mittels Scraping an die Daten zu gelangen.

Beim Scraping liest ein Script einzelne, teils öffentlich verfügbare Informationen automatisiert etwa aus Webseiten aus und verknüpft sie gegebenenfalls. Im Fall von Duolingo gelangten die Angreifer an E-Mail-Adressen, Namen, gesprochene Sprachen, Nutzernamen, Erfahrungspunkte und weitere mit dem Lernprozess verbundene Daten. Immerhin gehörten keine Passwörter dazu – wobei Cyberkriminelle Nutzernamen und E-Mail-Adressen auch mit Passwort-Funden aus anderen Quellen verbinden. Insbesondere bei einfachen Passwörtern oder Wiederverwendung bei mehreren Konten wäre das problematisch.

HIBP: Datenverknüpfung ein Risiko für die Privatsphäre

Das HIBP-Projekt schreibt zu dem Datenfundus, dass zwar einige der Daten absichtlich öffentlich waren. Deren Verknüpfung jedoch etwa mit der privaten E-Mail-Adresse stelle ein fortlaufendes Risiko für die Privatsphäre von Nutzerinnen und Nutzern dar.

Die verknüpften Informationen liefern Cyberkriminellen Anhaltspunkte, mit denen sie etwa gezielt Phishing-Kampagnen gegen Duolingo-Nutzer fahren können. Wer ein Konto bei Duolingo hat, sollte gegebenenfalls einmal bei Have I Been Pwned überprüfen, ob die eigene E-Mail-Adresse von dem Datenleck betroffen ist. Bei Nachrichten mit Sprachlern-Kontext ist dann besondere Vorsicht geboten.

Zuletzt wurde Anfang des Jahres ein großer Datenhaufen zum HIBP-Projekt hinzugefügt. Damals ging es um rund 230 Millionen Datensätze des Streaming-Anbieters Deezer, die Angreifer 2019 bei einem Partnerunternehmen nach einem Cybereinbruch kopiert hatten.

(dmk)