Manapság az internetes bűncselekmények egyik leggyakoribb formája a különböző oldalak, alkalmazások, szoftverek adatbázisainak feltörése, és onnan a felhasználói adatok ellopása. Ennek célja többnyire a megszerzett információ értékesítése harmadik félnek. A vásárló az adatokkal vissza tud élni a konkrét adattípus érzékenységétől függő mértékben. Ez az e-mail-címek marketingcélú felhasználásától egészen a bankkártyaadatok megszerzéséig is terjedhet.
Számos neves techvállalattal előfordult már, hogy felhasználóik személyes adatai kerültek illetéktelenek kezébe. A Discord, a Razer és az Acer is így járt a közelmúltban, de a lista tetszés szerint szinte bármeddig folytatható.
Kiegészíthető például Duolingóval, a mobiltelefonokra tervezett, nyelvoktatást támogató alkalmazással, ami közel 80-féle párosításban képes segítséget nyújtani a tanuláshoz. A platform használóinak adatai még januárban kerültek ki egy hackerfórumra. Akkor a feltöltő 1500 dollárt kért a lopott adatokért, most szinte ingyen lehet hozzájuk jutni.
A felhasználói adatokat egy nyitott API-n keresztül nyerték ki, ahonnan tulajdonképen bárki elérheti őket. A lopott adatok közül a legértékesebbek az e-mail-címek, amelyek ugyan nem nyilvános adatok, mégis meg lehet találni a hozzájuk tartozó felhasználókat tömeges lekérdezéssel, amihez más forrásból megszerzett e-mail lista birtokában vágnak neki.
A Duolingo egyébként a januári incidens óta semmit sem tett a hasonló ügyek megelőzésére, holott intő példaként lebeghetne előtte, hogy a múltban nem egy szolgáltató kapott már komoly adatvédelmi bírságot hanyagsága miatt.
