Duolingo, popularna na całym świecie platforma do nauki języków, przyciągająca każdego miesiąca rzesze aktywnych użytkowników, znalazła się w centrum uwagi na początku 2023 roku. Powodem był incydent związany z naruszeniem bezpieczeństwa danych, który spowodował ujawnienie informacji o ponad 2,5 miliona użytkowników.
W wyniku tego incydentu, poufne i publicznie dostępne dane użytkowników, takie jak imiona i nazwiska, adresy e-mail, numery telefonów oraz zapisane kursy językowe, zostały wystawione na niebezpieczeństwo. Poniżej przedstawiamy najważniejsze aspekty tego zdarzenia.
Naruszenie bezpieczeństwa danych w Duolingo: Jak do tego doszło?
Informacja o problemie pojawiła się w styczniu 2023 roku, gdy dane z około 2,6 miliona kont użytkowników zostały wystawione na sprzedaż na jednym z forów hakerskich za cenę 1500 dolarów.
Chociaż wspomniane forum zostało zamknięte, badacze bezpieczeństwa z VX-Underground odkryli, że dane te są oferowane do zakupu na nowej platformie, za kwotę około 2,13 dolarów, co odpowiada ośmiu kredytom witryny.
Hakerzy twierdzą, że uzyskali dostęp do danych, wykorzystując lukę w interfejsie API. Podejrzewa się, że wprowadzili oni do tego interfejsu adresy e-mail pochodzące z wcześniejszych wycieków, aby sprawdzić, czy są one powiązane z aktywnymi kontami w Duolingo. W rezultacie, powstała baza danych zawierająca zarówno publiczne, jak i prywatne informacje.
Rzecznik prasowy Duolingo tłumaczy, że dane te zostały pobrane z publicznych profili użytkowników. Trudno jednak w pełni zgodzić się z tym twierdzeniem, ponieważ w zebranych danych znalazły się prawdziwe imiona i nazwiska, dane o postępach w nauce języków oraz adresy e-mail, które zwykle nie są publicznie dostępne.
Kto padł ofiarą wycieku danych z Duolingo?
Jak wynika z badania przeprowadzonego przez Surfshark, najbardziej dotknięte naruszeniem danych okazały się Stany Zjednoczone, gdzie problem dotknął prawie milion kont. Na drugim miejscu znalazł się Sudan Południowy z 175 000 poszkodowanych kont, a dalej Hiszpania (123 000), Francja (105 000) i Wielka Brytania (98 000).
Z każdego zaatakowanego konta wyciekło średnio pięć danych, takich jak imię i nazwisko, nazwa użytkownika, zdjęcie profilowe, informacje o języku i kraju. W niektórych przypadkach ujawniono wszystkie dane użytkownika.
Co dalej dzieje się z pozyskanymi danymi?
Podmioty zajmujące się gromadzeniem danych często zbierają informacje z mediów społecznościowych, a następnie sprzedają je podmiotom trzecim w różnych celach, w tym marketingowych. Cyberprzestępcy mogą wykorzystać ujawnione dane użytkowników Duolingo do przeprowadzania ataków socjotechnicznych, takich jak ukierunkowane ataki phishingowe. Wykorzystują do tego imiona i nazwiska oraz adresy e-mail ofiar.
Poszkodowani użytkownicy mogą otrzymywać spersonalizowane wiadomości e-mail (np. oferty kursów językowych ze zniżką), które będą wykorzystywały ich imiona, informacje o postępach w nauce i kraj zamieszkania. E-maile mogą również zawierać fałszywe zaproszenia na wycieczki do krajów, w których mówi się w danym języku.
Cyberprzestępcy mogą także podszywać się pod Duolingo i rozsyłać wiadomości e-mail z linkami, które rzekomo prowadzą do płatnej lub premium wersji serwisu. Kliknięcie takich linków i podanie danych płatności może prowadzić do ich kradzieży.
Jak postępować w związku z wyciekiem danych z Duolingo?
Usuwanie danych ze stron internetowych i aplikacji to powszechny problem, który dotyka wiele firm technologicznych. Na przykład w kwietniu 2021 roku doszło do wycieku danych z około 500 milionów kont użytkowników LinkedIn.
Jeśli podejrzewasz, że Twoje dane mogły zostać ujawnione, warto podjąć odpowiednie kroki. Jednym z nich jest sprawdzenie, czy Twoje dane znalazły się w wycieku, odwiedzając stronę HaveIBeenPwned. Według niej, wszystkie naruszone dane Duolingo zostały już dodane do ich bazy danych.
Aby zapobiegać atakom phishingowym, należy dokładnie analizować otrzymywane wiadomości e-mail, zwłaszcza te, które wydają się pilne. Zweryfikuj adresy nadawców, unikaj klikania podejrzanych linków i załączników, oraz rozważ zainstalowanie oprogramowania antywirusowego, które może pomóc w ochronie przed złośliwym oprogramowaniem w wiadomościach phishingowych.
Bądź ostrożny w stosunku do prób podszywania się pod inne osoby i nigdy nie udostępniaj poufnych informacji, takich jak nazwy użytkowników i hasła, za pośrednictwem poczty elektronicznej, ponieważ Duolingo nie będzie prosić o takie dane w e-mailach. Zastosuj się do zaleceń firmy, zmień hasło i rozważ skonfigurowanie uwierzytelniania dwuskładnikowego.
A co jeśli masz wątpliwości co do poziomu bezpieczeństwa danych stosowanego przez Duolingo? A może nie masz pewności co do skuteczności podjętych środków ostrożności? W takim przypadku, rozważ wypróbowanie innych platform do nauki języków.
Chroń swoje dane i wzmocnij swoje zabezpieczenia
Naruszenia danych stają się coraz częstsze, a skradzione dane mogą służyć do różnych celów, od działań marketingowych po cyberataki, w tym próby phishingu. Obecnie wielu użytkowników Duolingo jest narażonych na ryzyko, ponieważ cyberprzestępcy mogą mieć dostęp do ich danych osobowych, w tym imion i nazwisk oraz adresów e-mail.
Aby minimalizować skutki naruszeń danych, użytkownicy powinni podjąć proaktywne działania, w tym nauczyć się identyfikować potencjalne zagrożenia, próby podszywania się pod inne osoby oraz umieć radzić sobie z atakami phishingowymi.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.