image

Duolingo bevestigt scraping van profielgegevens 2,6 miljoen gebruikers

woensdag 25 januari 2023, 15:52 door Redactie, 4 reacties
Laatst bijgewerkt: 25-01-2023, 16:21

Een aanvaller is erin geslaagd om de gegevens van 2,6 miljoen gebruikers van online taalplatform Duolingo te scrapen, maar er is geen sprake van een datalek, aldus het bedrijf. De data wordt op internet te koop aangeboden. Volgens de aanbieder van de dataset, die hier minimaal 1500 dollar voor wil hebben, zijn de gegevens door middel van een "blootgestelde API" gescrapet.

Het gaat om accountgegevens, zoals naam, e-mailadres, foto en telefoonnummer. Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder tegenover The Record. "Er heeft geen datalek of inbraak plaatsgevonden. We nemen privacy en security serieus en onderzoeken of er verdere actie is vereist om onze gebruikers te beschermen."

De Ierse privacytoezichthouder DPC legde Meta vorig jaar een AVG-boete van 265 miljoen euro op wegens een groot datalek bij Facebook waardoor de data van 533 miljoen gebruikers op straat kwam te liggen. De data was door middel van scraping verzameld, waarbij er misbruik was gemaakt van een feature van het platform. Uit interne communicatie bleek dat Facebook datalekken door middel van scraping vervolgens als een industriebreed probleem wilde framen.

Reacties (4)
25-01-2023, 16:10 door DikkeDirk
@redactie

De data was door middel van scraping verzamelt

VerzamelD
25-01-2023, 16:38 door Anoniem
Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.

Was die api bedoeld voor iedereen dan is er geen datalek maar dat lijkt me hier niet het geval of is de api nog steeds 'blootgesteld/exposed'?. Het gebruikte woord geeft al aan dat het niet de bedoeling was.
25-01-2023, 16:43 door Anoniem
Gegevens van 2,6 miljoen gebruikers is buitgemaakt maar ze noemen het geen datalek?
Wat is hun definitie van een datalek dan wel?
25-01-2023, 17:18 door Anoniem
Datalekken vinden niet alleen plaats als iemand actief een website "hacked" door exploits uit te buiten en daarmee een onversleutelde kopie van persoonsgegevens te pakken krijgt.

Door Anoniem: Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.

Was die api bedoeld voor iedereen dan is er geen datalek maar dat lijkt me hier niet het geval of is de api nog steeds 'blootgesteld/exposed'?. Het gebruikte woord geeft al aan dat het niet de bedoeling was.

Dus dat ja...

Het wordt misshcien iets mistiger als de API waarlangs het scrapen goed beveiligd was en alleen toegankelijk voor iemand met een account op het platform van Duolingo, maar dan nogsteeds moet je je als platform bouwer afvragen of een standaard gebruikers account in een dergelijke mate gebruik moet kunnen mogen maken van zo'n API. En als dat de bedoeling was, is dat aan de gebruikers van het platform dan ook als zodanig bekend gemaakt dat alle andere deelnemers jouw gegevens kunnen ophalen? Worden gebruikers in de gelegenheid gesteld hun gegevens binnen het platform af te schermen of toegang te beperken tot bijvoorbeeld de groep waarmee je samen zo'n taal cursus doet?

De naam deed mij al een belletje rinkelen, maar (basis)scholen maken bijvoorbeeld gebruik van het platform om taallessen aan te bieden. Zo ook de basis school van mijn zoon's. Het was nou niet bepaald dat ze de keuze hadden om zich niet te registreren, want niet mee doen was geen Engelse les en dus niet het curriculum volgen. En ik durf toch wel enigszins te beweren dat het bewustzijn van een basisscholier (of zijn/haar leraar) niet van het niveau is dat dit een helemaal afgewogen beslissing is geweest als dit "by design" is geweest.

Best boute uitspraak van de ontwikkelaar om zo bleu te stellen dat het geen datalek zou zijn, want volgens mij is het wel degelijk een datalek!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.