듀오링고 사용자 해킹 소식 및 여부 확인 방법

인기 언어 학습 앱인 듀오링고(Duolingo) 사용자 260만명의 스크랩 데이터가 해킹 포럼에서 판매되고 있습니다. 유출된 데이터에는 260만명의 이메일 주소, 이름, 프로필 사진이 포함되어 있으며, 이를 이용해 공격자가 표적 피싱 공격을 수행할 수 있습니다.

 

유출된 데이터에는 사용자의 듀오링고 프로필의 일부로 공개적으로 제공되는 공개 로그인과 실명의 조합이 포함되어 있지만, 공개적으로 제공되지 않는 이메일 주소와 듀오링고 서비스와 관련된 내부 정보도 포함되어 있습니다. 이로 인해 사용자가 이메일을 통한 피싱 공격에 취약해질 수 있다는 우려가 제기되었습니다.

 

혹시 모르시는 분들을 위해 말씀드리자면, 260만 고객 계정의 스크랩된 정보는 2023년 1월 현재는 없어진 해킹 포럼인 Breached에서 처음으로 1,500달러에 판매되었습니다. 당시 해커는 해킹포럼에 올린 글을 통해 노출된 애플리케이션 프로그래밍 인터페이스(API)를 스크랩해 정보를 얻었으며 1000개 계정의 데이터 샘플도 제공했다고 밝혔다.

 

“저는 노출된 API에서 스크랩한 260만 개의 듀오링고 계정 항목을 판매하고 있습니다. 시작 가격은 미화 1,500달러이지만 가격 협상이 가능합니다.”라고 해킹 포럼의 게시물을 읽어보세요.

 

듀오링고가 이 사건을 인지했을 때, 그들은 공개 프로필 정보에서 해당 정보가 스크랩되었지만 데이터 유출이나 해킹이 발생하지 않았음을 TheRecord 에 확인했습니다. 추가적인 보안 조치가 필요한지 알아보기 위해 내부 조사가 진행 중이라고 덧붙였다.

하지만 공개되지 않은 개인 이메일 주소도 노출된 데이터의 일부였다는 사실은 언급하지 않았습니다.

 

최근 모든 정보가 포함된 스크랩된 260만 사용자 데이터 세트가 8개 사이트 크레딧에 대한 새 버전의 Breached 해킹 포럼에 공개되었습니다. 이는 단 2.13달러의 가치가 있으며 VX-Underground 에서 처음 발견되었습니다

"안녕하세요 BreachForums 커뮤니티, 오늘 여러분이 다운로드할 수 있도록 Duolingo Scrape를 업로드했습니다. 읽어주시고 즐겨주셔서 감사합니다!" 해킹 포럼의 게시물을 읽습니다.

 

이 데이터는 누구나 사용자 이름을 제출하고 사용자의 공개 프로필 정보(이름, 이메일, 학습한 언어)로 구성된 JSON 출력을 검색할 수 있는 듀오링고의 노출된 API(애플리케이션 프로그래밍 인터페이스)의 취약점을 악용하여 스크랩되었습니다.

노출된 API는 적어도 2023년 3월부터 공개적으로 배포되고 알려졌습니다. 또한 연구원들은 API 사용 방법을 트윗하고 공개적으로 문서화 해 왔습니다.

 

Vx-underground에 따르면 해커는 이메일 주소를 API에 제출하여 유효한 듀오링고 계정과 관련이 있는지 확인함으로써 이 결함을 쉽게 악용할 수 있습니다. 그들은 유출된 데이터가 신상 털기(doxing)에 사용될 수 있으며 표적 피싱 공격으로 이어질 수도 있다고 경고합니다.

BleepingComputer는 Duolingo가 2023년 1월 공개 알림을 받았음에도 불구하고 API가 여전히 공개적으로 사용 가능함을 확인했습니다. DuoLingo는 API가 아직 공개된 이유에 대해 아직 답변을 하지 않았습니다.

 

세계에서 가장 유명하고 규모가 큰 언어 학습 사이트 중 하나인 듀오링고는 5억 명이 넘는 등록 사용자와 7,400만 명 이상의 월간 활성 사용자를 보유하고 있습니다.

 

테슬라(Tesla) 해킹으로 차량 내 유료 기능을 무료로 잠금 해제?