Податоците се појавија на хакерски форум уште во јануари кога нивната почетна цена беше 1500 долари. Компанијата тогаш го призна проблемот и рече дека станува збор за податоци собрани од јавни профили, нагласувајќи дека немало кражба на податоци или хакирање. Сега до податоците на BreachForums може да се пристапи за 8 кредити кои се користат како внатрешна валута на форумот, а чијашто вредност е 2,13 долари.

„Денес го поставив Duolingo Scrape за да го преземете, благодарам што прочитавте и уживајте!“ напиша еден корисник на форумот.

Напаѓачот открил грешка во API –то на Duolingo којашто ја експлоатирал за собирање на податоците. Хакерите можат лесно да ја искористат истата ранливост со испраќање корисничкото име или е-пошта за да соберат детали од јавниот профил. Протечените податоци може да се користат за доксинг, по што приватните информации од профилот може да се најдат на интернет, што потоа може да доведе и до насочени фишинг напади.

Дополнителен проблем е што корисничките податоци на Duolingo се сè уште достапни за собирање (scraping), а не се работи само за јавно достапни податоци. Портпаролот на Duolingo рече дека истрагата е во тек за да се утврди дали се потребни дополнителни мерки за заштита на корисниците. Тој додаде дека мејл адресите во овој инцидент се добиени од други веб-страници, а не од Дуолинго.

„API-то користено во овој инцидент намерно беше објавено за да им помогне на нашите студенти да најдат пријатели кои исто така користат Duolingo. Студентите на Duolingo имаат можност да ги направат своите профили приватни доколку не сакаат нивните профили да бидат јавно пребарувани“, рече портпаролот на компанијата.

Duolingo, кој е основан во 2011 година, моментално има повеќе од 500 милиони регистрирани корисници и повеќе од 60 милиони месечни активни корисници.