Aktuelles
Weiter

2,6 Millionen Datensätze im Darknet zum Verkauf angeboten
Datenleck-Plattform vermeldet Panne bei Sprachdienst Duolingo

Die Zahl der bekannt gewordenen Datenlecks steigt weiter an. Die Datenleck-Plattform „Have I Been Pwned“ soll ihrer bereits umfangreichen Datenbank weitere 2,6 Millionen Datensätze hinzugefügt haben. Die Daten sollen von Duolingo, einem Anbieter für Sprachlern-Dienste, gestohlen worden sein. Die Datensätze sollen nach einem Bericht von heise.de vom 24. August 2023 bereits zu Beginn dieses Jahres im Darknet zum Verkauf angeboten worden sein. Die Angreifer nutzten offenbar eine anfällige API aus, um mittels Scraping Zugang zu den Daten zu erhalten. Die Cyberkriminellen haben offensichtlich E-Mail-Adressen, Namen, gesprochene Sprachen, Benutzernamen, Erfahrungspunkte und andere datenbezogene Informationen im Zusammenhang mit dem Lernprozess abgreifen können. Passwörter sollen nicht erbeutet worden sein. 

Die Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier prüft die Kanzlei die Betroffenheit der Kunden und zeigt Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

IT Recht Datenklau
IT Recht Datenklau

1500 Dollar für 2,6 Millionen Datensätze von Duolingo

Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Allerdings wird mit den personenbezogenen Daten manchmal leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Das Unternehmen Meta ist zum Beispiel am Landgericht Zwickau aufgrund eines Datenlecks beim Tochterunternehmen Facebook zur Zahlung von Schadensersatz in Höhe von 1000 Euro verurteilt worden. Das Gericht machte deutlich: Facebook hätte die gestohlenen Daten besser schützen müssen. 

Auch der vorliegende Fall beim Sprachlern-App-Anbieter Duolingo zeigt, wie schnell hochsensible Daten plötzlich für Dritte einsehbar und abgreifbar sind. Duolingo ist ein weitverbreiteter Onlinedienst zum Erlernen von Sprachen. Im letzten Quartalsbericht wies das Unternehmen bis Ende März 72,6 Millionen monatlich aktive Nutzer aus. Die Anzahl der zahlenden Anwender belief sich zu dieser Zeit auf 4,8 Millionen: Die Verbraucherkanzlei Dr. Stoll & Sauer fasst zusammen, was bisher zum Datenleck bei Duolingo in den Medien bekannt geworden ist:

  • Am 24. August 2023 wurde bekannt, dass es bei der Sprachlern-Software Duolingo zu einem Datenleck gekommen ist. Betroffen sind den Angaben zufolge 2,6 Millionen Nutzer. Laut dem Online-Magazin The Record waren die Daten im Darknet für 1500 Dollar zum Kauf angeboten worden. Das Datenleck soll im Januar 2023 entstanden sein
  • Die Angreifer machten sich offenbar eine verwundbare API zunutze, um die Daten abzugreifen. Mittels Scraping, einer Technik zum automatisierten Auslesen von Daten etwa von einer Webseite, gelangten die Datendiebe an teils öffentlich verfügbare Informationen.
  • Die gestohlenen Daten umfassen unter anderem Namen, E-Mail-Adressen, Nutzernamen, Lernfortschritte und Spracheinstellungen. Passwörter sollen nicht gestohlen worden sin.
  • Der Hack-Checker „Have I Been Pwned“ (kurz: HIBP) hat am 23. August 2023 seiner umfangreichen Sammlung von Datenlecks die 2,6 Millionen entwendeten Duolingo-Daten hinzugefügt. „Have I Been Pwned“ heißt auf Deutsch so viel wie "Bin ich gehackt worden?". Das Wort "pwned" ist eine Abkürzung für "owned", was im Deutschen eigentlich "besessen" bedeutet, aber in der Hacker-Sprache "besiegt" oder "erwischt" bedeutet. Die Website von HIBP hilft Nutzern, herauszufinden, ob ihre persönlichen Daten gehackt und veröffentlicht wurden. Dazu durchsucht die Website ständig das Internet nach neuen Datenlecks. Wenn sie ein Datenleck findet, fügt sie die E-Mail-Adressen der betroffenen Nutzer zu ihrer Datenbank hinzu. So können Nutzer überprüfen, ob ihre E-Mail-Adresse in einem Datenleck gefunden wurde. Wenn dies der Fall ist, sollten sie ihre Passwörter für alle Konten ändern, die mit derselben E-Mail-Adresse verknüpft sind. 

Fazit: Das Datenleck bei Duolingo ist ein ernster Vorfall, der die Sicherheit der Nutzerdaten gefährdet könnte. Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich vor Phishing-Angriffen zu schützen. Mit den kombinierten Informationen aus anderen Datenlecks könnten es Cyberkriminellen ermöglichen, gezielte Phishing-Angriffe gegen Duolingo-Nutzer durchzuführen. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer des Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier prüft die Kanzlei auch die Betroffenheit von Verbrauchern.

Kostenlose Erstberatung direkt online abrufen

Informieren Sie sich schnell, sicher und kostenlos. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.

EuGH stärkt Rechte von betroffenen Verbrauchern

Opfer von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.

  • Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.
  • Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
  • Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.

In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online-Check auch die Betroffenheit von den gängigsten Datenlecks ab.

Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?

Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

  1. Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
  2. Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
  3. Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
  4. Unbedingt Strafanzeige erstatten.
Newsletter

Immer auf dem Laufenden
Abonnieren Sie unseren Newsletter

Schnelle Informationen und Hintergründe helfen Ihnen bei den richtigen Entscheidungen. Profitieren Sie von wichtigen juristischen Informationen aus erster Hand. Wir informieren Sie mit unseren Newslettern über aktuelle Themen wie Abgasskandal, Datenschutzrecht oder Bankenskandale.