אתר DuoLingo הוא אחד מאתרי לימוד השפה הגדולים בעולם, עם למעלה מ- 74 מיליון משתמשים חודשיים ברחבי העולם. מידע של 2.6 מיליון משתמשי DuoLingo הודלף בפורום פריצה ברשת האפלה – מידע המאפשר לפושעי סייבר לבצע מתקפות דיוג ממוקדות באמצעות המידע החשוף. המידע כולל שמות אמיתיים של משתמשי DuoLingo, כתובות דוא"ל ומידע פנימי הקשור לשירות DuoLingo. בעוד השם האמיתי ושם הכניסה זמינים לציבור כחלק מפרופיל DuoLingo של המשתמש, כתובות האימייל מדאיגות יותר מכיוון שהן מאפשרות שימוש בנתונים ציבוריים אלו במתקפות סייבר.
כשהנתונים הועמדו למכירה אישרה DuoLingo לאנשי אתר TheRecord כי הם נגנבו ממידע פרופיל ציבורי וכי הם חוקרים אם יש לנקוט כעת באמצעי זהירות נוספים. עם זאת, לא התייחסו DuoLingo לעובדה שגם כתובות מייל שאינן מידע ציבורי נכללות במידע שפורסם.
"היום העליתי את ה- Duolingo Scrape להורדה, תודה שקראתם ותהנו!", נכתב בפוסט בפורום הפריצה. נתונים אלו נגרדו באמצעות ממשק API ששותף בגלוי מאז מרץ 2023. ה- API הזה מאפשר לכל אחד לשלוח שם משתמש ולאחזר פלט JSON המכיל את פרטי הפרופיל הציבורי של המשתמש. עם זאת, אפשר גם להזין כתובת אימייל לתוך ה- API ולאשר אם היא משויכת לחשבון DuoLingo חוקי. אנשי אתר BleepingComputer אישרו כי ממשק API זה עדיין זמין בגלוי לכל אחד, גם לאחר דיווח על שימוש לרעה בו ל- DuoLingo בינואר.
API זה איפשר להאקרים להזין מיליוני כתובות דוא"ל, שנחשפו ככל הנראה בפרצות נתונים קודמות, לתוך ה- API ולאשר אם הן שייכות לחשבונות DuoLingo. כתובות דוא"ל אלו שימשו לאחר מכן ליצירת מערך הנתונים המכיל מידע ציבורי ומידע פרטי. האקר אחר שיתף את ה- API והצביע על כך שהאקרים המעוניינים להשתמש בנתונים במתקפות דיוג, צריכים לשים לב לשדות ספציפיים המצביעים על כך שלמשתמש ב- DuoLingo יש יותר הרשאות ממשתמש רגיל ולכן הם יעדים בעלי ערך רב יותר.
BleepingComputer יצרה קשר עם DuoLingo בשאלה מדוע ה- API עדיין זמין לציבור אך לא קיבלה תשובה נכון להיום. יש לציין כי ארגונים נוטים לפטור נתונים מגורדים כלא בעיתיים, שכן רוב הנתונים כבר ציבוריים גם אם לא בהכרח קל להרכיב אותם. עם זאת, כאשר מידע ציבורי מעורב עם נתונים פרטיים, כגון מספרי טלפון וכתובות דוא"ל, הדבר נוטה להפוך את המידע החשוף למסוכן יותר ועלול להפר את חוקי הגנת המידע. לדוגמה, בשנת 2021, סבלה פייסבוק מדלף מידע מאסיבי לאחר שנוצל לרעה באג API הוסף חבר, כדי לקשר מספרי טלפון לחשבונות פייסבוק. הוועדה האירית להגנה על נתונים (DPC) קנסה מאוחר יותר את פייסבוק ב- 265 מיליון אירו (275.5 מיליון דולר) על דלף מידע זה של נתונים מגורדים. כמו כן, לאחרונה נעשה שימוש בבאג ב- API של Twitter כדי לגרד את הנתונים הציבוריים וכתובות האימייל של מיליוני משתמשים, מה שהוביל לחקירה על ידי ה- DPC.