Die Zahl der bekannt gewordenen Datenlecks steigt weiter an. Die Datenleck-Plattform „Have I Been Pwned“ soll ihrer bereits umfangreichen Datenbank weitere 2,6 Millionen Datensätze hinzugefügt haben. Die Daten sollen von Duolingo, einem Anbieter für Sprachlern-Dienste, gestohlen worden sein. Die Datensätze sollen nach einem Bericht von heise.de vom 24. August 2023 bereits zu Beginn dieses Jahres im Darknet zum Verkauf angeboten worden sein. Die Angreifer nutzten offenbar eine anfällige API aus, um mittels Scraping Zugang zu den Daten zu erhalten. Die Cyberkriminellen haben offensichtlich E-Mail-Adressen, Namen, gesprochene Sprachen, Benutzernamen, Erfahrungspunkte und andere datenbezogene Informationen im Zusammenhang mit dem Lernprozess abgreifen können. Passwörter sollen nicht erbeutet worden sein.

Die Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier prüft die Kanzlei die Betroffenheit der Kunden und zeigt Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

1500 Dollar für 2,6 Millionen Datensätze von Duolingo

Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Allerdings wird mit den personenbezogenen Daten manchmal leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Das Unternehmen Meta ist zum Beispiel am Landgericht Zwickau aufgrund eines Datenlecks beim Tochterunternehmen Facebook zur Zahlung von Schadensersatz in Höhe von 1000 Euro verurteilt worden. Das Gericht machte deutlich: Facebook hätte die gestohlenen Daten besser schützen müssen.

Auch der vorliegende Fall beim Sprachlern-App-Anbieter Duolingo zeigt, wie schnell hochsensible Daten plötzlich für Dritte einsehbar und abgreifbar sind. Duolingo ist ein weitverbreiteter Onlinedienst zum Erlernen von Sprachen. Im letzten Quartalsbericht wies das Unternehmen bis Ende März 72,6 Millionen monatlich aktive Nutzer aus. Die Anzahl der zahlenden Anwender belief sich zu dieser Zeit auf 4,8 Millionen: Die Verbraucherkanzlei Dr. Stoll & Sauer fasst zusammen, was bisher zum Datenleck bei Duolingo in den Medien bekannt geworden ist:

  • Am 24. August 2023 wurde bekannt, dass es bei der Sprachlern-Software Duolingo zu einem Datenleck gekommen ist. Betroffen sind den Angaben zufolge 2,6 Millionen Nutzer. Laut dem Online-Magazin The Record waren die Daten im Darknet für 1500 Dollar zum Kauf angeboten worden. Das Datenleck soll im Januar 2023 entstanden sein
  • Die Angreifer machten sich offenbar eine verwundbare API zunutze, um die Daten abzugreifen. Mittels Scraping, einer Technik zum automatisierten Auslesen von Daten etwa von einer Webseite, gelangten die Datendiebe an teils öffentlich verfügbare Informationen.
  • Die gestohlenen Daten umfassen unter anderem Namen, E-Mail-Adressen, Nutzernamen, Lernfortschritte und Spracheinstellungen. Passwörter sollen nicht gestohlen worden sein.
  • Der Hack-Checker „Have I Been Pwned“ (kurz: HIBP) hat am 23. August 2023 seiner umfangreichen Sammlung von Datenlecks die 2,6 Millionen entwendeten Duolingo-Daten hinzugefügt. „Have I Been Pwned“ heißt auf Deutsch so viel wie "Bin ich gehackt worden?". Das Wort "pwned" ist eine Abkürzung für "owned", was im Deutschen eigentlich "besessen" bedeutet, aber in der Hacker-Sprache "besiegt" oder "erwischt" bedeutet. Die Website von HIBP hilft Nutzern, herauszufinden, ob ihre persönlichen Daten gehackt und veröffentlicht wurden. Dazu durchsucht die Website ständig das Internet nach neuen Datenlecks. Wenn sie ein Datenleck findet, fügt sie die E-Mail-Adressen der betroffenen Nutzer zu ihrer Datenbank hinzu. So können Nutzer überprüfen, ob ihre E-Mail-Adresse in einem Datenleck gefunden wurde. Wenn dies der Fall ist, sollten sie ihre Passwörter für alle Konten ändern, die mit derselben E-Mail-Adresse verknüpft sind.

Fazit: Das Datenleck bei Duolingo ist ein ernster Vorfall, der die Sicherheit der Nutzerdaten gefährdet könnte. Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich vor Phishing-Angriffen zu schützen. Mit den kombinierten Informationen aus anderen Datenlecks könnten es Cyberkriminellen ermöglichen, gezielte Phishing-Angriffe gegen Duolingo-Nutzer durchzuführen. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer des Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier prüft die Kanzlei auch die Betroffenheit von Verbrauchern.

EuGH stärkt Rechte von betroffenen Verbrauchern

Opfer von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.

  • Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.
  • Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
  • Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.

In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online-Check auch die Betroffenheit von den gängigsten Datenlecks ab.

Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?

Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

  1. Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
  2. Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
  3. Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
  1. Unbedingt Strafanzeige erstatten.
Über die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien in Deutschland. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise-, Erb-, Versicherungs-, Sozial-, Wohn- und Mieteigentums- , Handels- und Gesellschafts- sowie Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterklage gegen die Mercedes-Benz Group AG.

Firmenkontakt und Herausgeber der Meldung:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Einsteinallee 1/1
77933 Lahr
Telefon: +49 (7821) 923768-0
Telefax: +49 (7821) 923768-889
http://www.dr-stoll-kollegen.de

Ansprechpartner:
Dr. Ralf Stoll
Geschäftsführer
Telefon: +49 (7821) 9237680
Fax: +49 (7821) 923768889
E-Mail: Ralf.Stoll@dr-stoll-kollegen.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel