Duolingo to jedna z najpopularniejszych aplikacji do nauki języków na świecie, z której miesięcznie korzystają dziesiątki milionów aktywnych użytkowników. Jednak na początku 2023 r. rozeszła się wiadomość, że w Duolingo doszło do naruszenia bezpieczeństwa danych, w wyniku którego ujawniono dane ponad 2,5 miliona użytkowników.
W wyniku naruszenia wyciekły publiczne i prywatne informacje o użytkownikach, w tym prawdziwe nazwiska, adresy e-mail, numery telefonów i zapisane kursy. Oto, co musisz wiedzieć.
Spis treści:
Naruszenie danych w Duolingo: co się stało?
Opinia publiczna dowiedziała się o problemie w styczniu 2023 r., kiedy dane z 2,6 miliona kont klientów zostały wystawione na sprzedaż na forum hakerskim za 1500 dolarów.
Forum jest już zamknięte. Jednak badacze bezpieczeństwa z VX-Underground odkryli, że dane są sprzedawane w nowej wersji forum za kwotę ośmiu kredytów witrynowych, co przekłada się na około 2,13 dolara.
Haker twierdzi, że pobrał dane z ujawnionego interfejsu API i udostępnił próbkę z 1000 kont. Osoba atakująca prawdopodobnie wprowadziła do interfejsu API adresy e-mail pochodzące z wcześniejszych naruszeń, aby sprawdzić, czy są one powiązane z aktywnymi kontami Duolingo, tworząc zbiór danych zawierający dane publiczne i niepubliczne.
Rzecznik Duolingo wyjaśnił, że dane zostały pobrane z informacji profili publicznych. Trudno jednak w pełni zaakceptować to twierdzenie, ponieważ zeskrobane dane obejmowały prawdziwe nazwiska użytkowników, publiczne loginy, postępy w nauce języków i adresy e-mail, które zazwyczaj nie są publiczne.
Kogo dotknął hack Duolingo?
Według badanie Surfshark, naruszenie danych w Duolingo najbardziej dotknęło Stany Zjednoczone, dotykając prawie 1 miliona kont. Drugie miejsce zajął Sudan Południowy ze 175 000 kont, których dotyczy problem, a za nim uplasowały się Hiszpania (123 000), Francja (105 000) i Wielka Brytania (98 000).
Z każdego zaatakowanego konta e-mail wyciekło około pięciu punktów danych, w tym imię i nazwisko, nazwa użytkownika, zdjęcie profilowe, język i kraj. W niektórych przypadkach ujawniono wszystkie dane użytkownika.
Co dalej dzieje się ze zeskrobanymi danymi?
Brokerzy danych często zbierają usunięte dane z mediów społecznościowych i sprzedają je stronom trzecim w różnych celach, w tym marketingowych. Cyberprzestępcy mogą jednak wykorzystywać ujawnione dane użytkowników Duolingo do przeprowadzania ataków socjotechnicznych, takich jak ukierunkowane ataki phishingowe, z wykorzystaniem prawdziwych imion i nazwisk ofiar oraz prawidłowych adresów e-mail.
Osoby dotknięte mogą otrzymywać dostosowane e-maile phishingowe – takie jak kursy językowe ze zniżką – dzięki ujawnionym nazwom, postępom w kursach Duolingo i szczegółom kraju zamieszkania. Te e-maile mogą również zawierać zaproszenia na podróż do krajów, w których używany jest język, którego się uczysz.
Cyberprzestępcy mogą również podszywać się pod Duolingo i wysyłać e-maile z linkami do czegoś, co wygląda na płatną wersję Duolingo lub kurs premium. Jeśli klikniesz te linki i wprowadzisz szczegóły płatności, osoba atakująca może ukraść Twoje dane.
Jak sobie poradzić z naruszeniem danych Duolingo
Usuwanie danych ze stron internetowych i aplikacji to dobrze znany problem dotykający wiele dużych firm technologicznych. Na przykład w kwietniu 2021 r. pobrano dane od około 500 milionów użytkowników LinkedIn.
Jeśli podejrzewasz, że Twoje dane wyciekły w wyniku naruszenia, możesz podjąć kroki, aby temu zaradzić. Jednym z nich jest sprawdzenie, czy Twoje dane zostały naruszone, odwiedzając witrynę HaveIBeenPwned. To twierdzi, że wszystkie naruszone dane Duolingo znajdowały się już w jego bazie danych.
Aby zapobiec phishingowi, dokładnie sprawdzaj wiadomości e-mail, zwłaszcza te pilne. Zweryfikuj adresy nadawców, nie klikaj podejrzanych linków i załączników i rozważ zainstalowanie oprogramowania antywirusowego w celu lepszej ochrony przed złośliwym oprogramowaniem w wiadomościach phishingowych.
Uważaj na ataki polegające na podszywaniu się i nigdy nie udostępniaj poufnych informacji, takich jak nazwy użytkowników i hasła, za pośrednictwem poczty elektronicznej, ponieważ Duolingo nie prosi o takie szczegóły w wiadomościach e-mail. Postępuj zgodnie z radami dostawcy, zmień hasło i rozważ skonfigurowanie uwierzytelniania dwuskładnikowego.
Co zrobić, jeśli nie masz pewności co do środków bezpieczeństwa zastosowanych przez Duolingo w celu ochrony danych użytkowników? A może masz wątpliwości co do skuteczności swoich działań? W takim przypadku możesz wypróbować inne aplikacje do nauki języków.
Chroń swoje dane i wzmocnij swoje zabezpieczenia
Naruszenia danych stają się coraz powszechniejsze, a skradzione dane mogą służyć różnym celom, od marketingu po cyberataki, w tym próby phishingu. Obecnie szkodliwi aktorzy mają dostęp do informacji wielu użytkowników Duolingo, w tym do ich prawdziwych imion i adresów e-mail.
Aby zaradzić naruszeniom danych, użytkownicy powinni podjąć proaktywne kroki, w tym nauczyć się identyfikować potencjalne naruszenia i próby podszywania się pod inne osoby oraz zwalczać ataki phishingowe.