Gegevens van 2,6 miljoen gebruikers van het online taalplatform Duolingo worden via een online forum verspreid. Het gaat onder andere om e-mailadressen, namen, gesproken talen, gebruikersnamen en talen die gebruikers aan het leren zijn. De data kon door middel van scraping worden verkregen, waarbij aanvallers gebruikmaakten van een kwetsbare programmeerinterface (API).

Via Duolingo is het mogelijk om allerlei talen te leren. Het platform had vorig jaar 50 miljoen actieve gebruikers per maand. "De gegevens zijn door middel van scraping van publieke profielinformatie verkregen", aldus een woordvoerder afgelopen januari, toen de gegevens op internet te koop werden aangeboden. Inmiddels wordt de data via een "populair hackingforum" verspreid, stelt beveiligingsonderzoeker Troy Hunt.

"Hoewel sommige data-attributen opzettelijk openbaar zijn, vormt de mogelijkheid om private e-mailadressen aan ze te koppelen een risico voor de privacy van gebruikers", aldus de onderzoeker, die tevens oprichter van datalekzoekmachine Have I Been Pwned is. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Hunt heeft de 2,6 miljoen gelekte e-mailadressen nu toegevoegd. Daarvan was maar liefst 100 procent al via een ander datalek bij de zoekmachine bekend.