Die Meldungen bezüglich Datenlecks nehmen nicht ab. Vor einigen Tagen berichteten wir erst über die Leaks bei Jodel und Tesla, nun hat es wohl den Sprachdienst Duolingo getroffen. Mehrere Millionen Nutzer sollen betroffen sein. Dem Unternehmen mit dem grünen Vogel als Logo wurden verschiedene Nutzer-Daten abgegriffen. Wir berichten über die ersten Erkenntnisse und klären auf, was Betroffene tun sollten.

Duolingo ist wohl Opfer eines Hackangriffs geworden. Die genutzte Schwachstelle scheint auch heute noch aktiv zu sein. Betroffene unterliegen nun einem erhöhten Risiko, u.a. gefährliche Phishing-E-Mails zu erhalten.

Duolingo ist seit 2011 online und wird per App genutzt. Über diese App können die Nutzer dann mehr als 30 Sprachen lernen oder ihre Kenntnisse auffrischen. Im letzten Quartalsbericht wies Duolingo bis Ende März 72,6 Millionen monatlich aktive Nutzer aus.
Die Anzahl der zahlenden Anwender belief sich zu dieser Zeit auf 4,8 Millionen. Das Unternehmen hat seinen Hauptsitz in Pittsburgh (Pennsylvania, USA), darüber hinaus hat Duolingo aber auch ein Büro in Berlin.

In einem Hackerforum sind nun persönliche Daten von 2,6 Millionen Nutzern der App aufgetaucht. Unter den geleakten Daten sollen sich unter anderem die E-Mail-Adressen, Namen, Nutzernamen sowie weitere interne Daten (beispielsweise die gelernten Sprachen) befinden.

Die gestohlenen Daten wurden erstmals im Januar 2023 im Hackerforum „Breached“ zum Verkauf angeboten, der Preis dafür betrug ursprünglich 1.500 US-Dollar. Zu diesem Zeitpunkt bestätigte der Betreiber von Duolingo auch den Datenabfluss aus öffentlichen Profilinformationen. Allerdings ging das Unternehmen in diesem Zusammenhang offenbar nicht näher auf die Tatsache ein, dass der Datensatz auch nicht-öffentliche E-Mail-Adressen enthielt. Das Hackerforum Breached wurde inzwischen abgeschaltet.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Programmschnittschnelle als mögliche Ursache

Analysen zufolge, könnte das Problem in einer Programmschnittstelle (API) liegen. Eben diese Programmschnittstelle ermöglicht es jedem beliebigen Akteur mit Internetzugang, unter Angabe der entsprechenden E-Mail-Adresse Profilinformationen des zugehörigen Nutzers abzurufen. Diese API soll laut Infos im Internet noch immer zugänglich sein, obwohl der Betreiber des Dienstes bereits im Januar auf den Missbrauch hingewiesen wurde.

Aufgrund einer solchen Datenlücke haben Angreifer die Möglichkeit, anhand von öffentlichen E-Mail-Listen aus vorherigen Datenlecks anderer Dienste, automatisiert Millionen von Anfragen an die API zu senden. Dadurch können sie diejenigen Datensätze speichern, für die die API zusätzliche Benutzerinformationen zurückgibt. In den zurückgelieferten Daten befinden sich auch spezifische Felder, die anzeigen, ob ein Nutzer über besondere Berechtigungen verfügt. Dadurch könnte ein Konto für Kriminelle möglicherweise zu einem besonders wertvollen Ziel für Angriffe werden.

Haben Sie einen Handyvertrag?

Dann wurde Ihre Daten möglicherweise illegal an die Schufa weitergegeben!
→ Jetzt prüfen und bis zu 5.000 € Schadensersatz einfordern.

Jetzt prüfen

Was Nutzer jetzt tun sollten

Wer betroffen ist, läuft Gefahr, Phishing-E-Mails zu erhalten. Wie auch bei den anderen Datenlecks, über die wir berichtet haben (unter anderem Deezer, Facebook, Jodel, Tesla), ist es wichtig, vorsichtig zu sein. Duolingo-Nutzer sollten feststellen, welche persönlichen Daten betroffen sind und dementsprechend Vorsichtsmaßnahmen ergreifen. Wer also mehrere E-Mail-Adressen hat, sollte überprüfen, welche für Duolingo verwendet wurde und dementsprechend bei dieser Mail-Adresse aufpassen. Wenn E-Mails verdächtig wirken, sollten diese keinesfalls geöffnet werden. Cyberkriminelle gelangen häufig schon durch einen einzigen falschen Klick an sensible Daten. Es bleibt aber abzuwarten, wie genau sich der Leak rund um Duolingo entwickelt.

agr