Dr. Stoll & Sauer Rechtsanwaltsgesellschaft: #Datenleck Plattform vermeldet Panne bei Sprachdienst #Duolingo

Lahr, August 2023

Die Zahl der bekanntgewordenen #Datenlecks steigt weiter an. Die Datenleck Plattform »Have I Been Pwned« soll ihrer bereits umfangreichen Datenbank weitere 2,6 Millionen Datensätze hinzugefügt haben. Die Daten sollen von Duolingo, einem Anbieter für Sprachlern Dienste, gestohlen worden sein. Die Datensätze sollen nach einem Bericht von heise.de vom 24. August 2023 bereits zu Beginn dieses Jahres im Darknet zum Verkauf angeboten worden sein. Die #Angreifer nutzten offenbar ein anfälliges #API aus, um mittels #Scraping #Zugang zu den Daten zu erhalten. Die #Cyberkriminellen haben offensichtlich E Mail Adressen, Namen, gesprochene Sprachen, Benutzernamen, Erfahrungspunkte und andere datenbezogene Informationen im Zusammenhang mit dem Lernprozess abgreifen können. Passwörter sollen nicht erbeutet worden sein.

Die Verbraucherkanzlei Dr. Stoll & Sauer rät Verbrauchern generell, die möglicherweise #Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online Check. Hier prüft die #Kanzlei die Betroffenheit der Kunden und zeigt Möglichkeiten auf. Mehr Infos zum Thema Datenleck und #Datenschutz gibt es auf der #Website.

1.500 Dollar für 2,6 Millionen Datensätze von Duolingo

Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Allerdings wird mit den personenbezogenen Daten manchmal leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Das Unternehmen #Meta ist zum Beispiel am Landgericht Zwickau aufgrund eines Datenlecks beim Tochterunternehmen #Facebook zur Zahlung von #Schadensersatz in Höhe von 1.000 Euro verurteilt worden. Das Gericht machte deutlich: Facebook hätte die gestohlenen #Daten besser schützen müssen.

Auch der vorliegende Fall beim Sprachlern #App Anbieter Duolingo zeigt, wie schnell hochsensible Daten plötzlich für Dritte einsehbar und abgreifbar sind. Duolingo ist ein weitverbreiteter Onlinedienst zum Erlernen von Sprachen. Im letzten Quartalsbericht wies das Unternehmen bis Ende März 72,6 Millionen monatlich aktive Nutzer aus. Die Anzahl der zahlenden Anwender belief sich zu dieser Zeit auf 4,8 Millionen: Die Verbraucherkanzlei Dr. Stoll & Sauer fasst zusammen, was bisher zum Datenleck bei Duolingo in den Medien bekanntgeworden ist …

  • Am 24. August 2023 wurde bekannt, dass es bei der Sprachlern Software Duolingo zu einem Datenleck gekommen ist. Betroffen sind den Angaben zufolge 2,6 Millionen Nutzer. Laut dem Online Magazin The Recordwaren die Daten im #Darknet für 1.500 Dollar zum Kauf angeboten worden. Das Datenleck soll im Januar 2023 entstanden sein

  • Die Angreifer machten sich offenbar ein verwundbares #API zunutze, um die Daten abzugreifen. Mittels Scraping, einer Technik zum automatisierten Auslesen von Daten etwa von einer Website, gelangten die Datendiebe an teils öffentlich verfügbare Informationen

  • Die gestohlenen Daten umfassen unter anderem Namen, E Mail Adressen, Nutzernamen, Lernfortschritte und Spracheinstellungen. Passwörter sollen nicht gestohlen worden sein

  • Der Hack Checker »Have I Been Pwned» (HIBP) hat am 23. August 2023 seiner umfangreichen Sammlung von Datenlecks die 2,6 Millionen entwendeten Duolingo Daten hinzugefügt. »Have I Been Pwned« heißt auf Deutsch so viel wie »Bin ich gehackt worden?«. Das Wort »pwned« ist eine Abkürzung für »owned«, was im Deutschen eigentlich »besessen« bedeutet, aber in der Hackersprache »besiegt« oder »erwischt« bedeutet. Die Website von HIBP hilft Nutzern, herauszufinden, ob ihre persönlichen Daten gehackt und veröffentlicht wurden. Dazu durchsucht die Website ständig das Internet nach neuen Datenlecks. Wenn sie ein Datenleck findet, fügt sie die E Mail Adressen der betroffenen Nutzer zu ihrer Datenbank hinzu. So können Nutzer überprüfen, ob ihre E Mail Adresse in einem Datenleck gefunden wurde. Wenn dies der Fall ist, sollten sie ihre Passwörter für alle Konten ändern, die mit derselben E Mail Adresse verknüpft sind.

Fazit

Das Datenleck bei Duolingo ist ein ernster Vorfall, der die Sicherheit der Nutzerdaten gefährdet könnte. Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich vor Phishing Angriffen zu schützen. Mit den kombinierten Informationen aus anderen Datenlecks könnten es Cyberkriminellen ermöglichen, gezielte Phishing Angriffe gegen Duolingo Nutzer durchzuführen. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer des Datenlecks geworden sind, zur kostenlosen Erstberatung im Online Check. Hier prüft die Kanzlei auch die Betroffenheit von Verbrauchern.

EUGH stärkt Rechte von betroffenen Verbrauchern

Opfer von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung. Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.

Schadensersatzrecht

Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EUGH) entschieden. Laut EUGH Urteil vom 4. Mai 2023 (Aktenzeichen C 300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die #Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

Unterlassungsrecht

Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen. »In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online Check auch die Betroffenheit von den gängigsten Datenlecks ab.«

Was tun, wenn Sie Opfer einer Phishing Attacke geworden sind?

#Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing SMS und E Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing Mail geworden sind, sollten sie folgende Maßnahmen ergreifen …

  • Sofort die Zugangsdaten für Online Bankgeschäfte geändert werden

  • Die betroffene #Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können

  • Die entsprechende Phishing Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden

  • Unbedingt #Strafanzeige erstatten

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bankrecht und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen #Arbeitsrecht, IT Recht, #Versicherungsrecht, #Reiserecht und #Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die #Volkswagen AG, handelten für 260.000 Verbraucher einen 830 Millionen Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes Benz Group AG. Im JUVE Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt. Mehr …