一名发言人表示,他们得知上述的广告是在8月22日出现,卖家宣称数据内容包含用户的电子邮件信箱、电话号码、报名的课程,以及其他使用者个资,并提供1千笔数据供买家检验。而对于卖家取得这些数据的渠道,该公司指出是透过网页抓取而得,他们并未遭遇黑客攻击,也没有发生数据外泄的事故,这样的说法与卖家声称是透过公开API收集,其实并不冲突,因为这的确可能不是典型的暴力抢夺或搜刮,而是因为API存取问题而导致。
黑客是发现DuoLingo的API臭虫,进而发送电子邮件信箱数据,使得此API回传用户的帐号资讯。资安新闻网站Bleeping Computer指出,有人再度在黑客论坛BreachedForums提供这批数据,用户只需花费8个论坛币(2.13美元)就能取得。而对于这项API臭虫,Bleeping Computer指出有人曾在今年1月就滥用,但到目前为止DuoLingo并未着手处理◆
