Oto dlaczego nie powinieneś ufać e-mailom z Duolingo

Wiadomości e-mail od sowy Duolingo mogą być denerwujące, to fakt. Jednak teraz, gdy cyberprzestępcy weszli w posiadanie Twoich adresów e-mail i danych z Duolingo, mogą przesyłać Ci precyzyjnie wycelowane wiadomości, aby zwabić Cię w pułapki phishingowe.

Właśnie dlatego nie można już bezgranicznie ufać wiadomościom, które rzekomo pochodzą od Duolingo.

Jak atakujący weszli w posiadanie Twoich danych z Duolingo?

Może to zaskakiwać, ale spora część Twoich danych z Duolingo jest dostępna publicznie dla każdego, kto poświęci chwilę i odrobinę czasu. Podstawowe informacje profilowe, takie jak nazwa użytkownika, zdjęcia profilowe i języki, których się uczysz, są widoczne po wejściu na stronę https://www.duolingo.com/profile/[username]. Wystarczy, że zmienisz [username] na profil osoby, którą jesteś zainteresowany.

Jeżeli masz sporo wolnego czasu, możesz przeglądać dziesiątki profili, sprawdzać, czy nazwy użytkowników są wykorzystywane gdzie indziej, a nawet przeprowadzić wyszukiwanie wsteczne zdjęcia profilowego, aby sprawdzić, gdzie jeszcze pojawia się ono w Internecie.

To może być interesujący sposób na spędzenie czasu, ale jest nieskuteczny, gdy Twoim celem jest zgromadzenie ogromnej ilości danych. Stworzenie aplikacji, która będzie automatycznie pobierać dane ze stron internetowych, jest stosunkowo proste.

Dzięki wykorzystaniu interfejsu programowania aplikacji (API) danej platformy, gromadzenie ogromnych ilości publicznych danych z platform takich jak Facebook, Twitter, LinkedIn lub Duolingo jest jeszcze łatwiejsze.

W styczniu 2023 roku serwis The Record poinformował, że hakerzy wykorzystali API Duolingo do pobrania publicznych danych 2,6 miliona użytkowników i wystawili te dane na sprzedaż na nieistniejącym już forum naruszenia.to.

Chociaż Duolingo potwierdziło autentyczność tych danych, firma stanowczo twierdziła, że są to jedynie publicznie dostępne informacje profilowe i że nie doszło do żadnego włamania ani naruszenia zabezpieczeń.

22 sierpnia 2023 roku platforma zajmująca się handlem złośliwym oprogramowaniem VX-Underground ujawniła na platformie X (dawniej znanej jako Twitter), że pobrane dane obejmowały również adresy e-mail użytkowników i że mogły one, a nawet zostały użyte do uzyskania dalszych informacji, takich jak imię i nazwisko oraz numer telefonu.

Jak dane z Duolingo mogą zostać użyte przeciwko Tobie?

Wiadomości e-mail od Duolingo są tak częste, że stały się już memem. Jeśli opuścisz jeden dzień ćwiczeń np. w esperanto, w Twojej skrzynce odbiorczej pojawi się maskotka sowa Duolingo, Duo, aby poinformować Cię, że jest smutna.

Niedługo potem zaczynają nadchodzić niepokojące wiadomości o tym, że Twoja passa została przerwana i że spadłeś w rankingach, a na końcu pojawia się zachęta do odbycia trzyminutowej lekcji.

Każda taka wiadomość zawiera informacje o Twoich ostatnich aktywnościach związanych z nauką języka oraz wygodny link umożliwiający zalogowanie się do serwisu.

Teraz, gdy Twoje imię i nazwisko, informacje o Twojej aktywności w Duolingo trafiły w ręce potencjalnych przestępców, automatyczne generowanie e-maili phishingowych, które nakłonią Cię do kliknięcia w link, jest bardzo proste.

Możemy przypuszczać, że link w takim e-mailu poprosi Cię o zalogowanie się, a tym samym o podanie hasła atakującym.

Oszukańcze e-maile mogą wydawać się jeszcze bardziej wiarygodne, jeżeli oszuści wykorzystają jedną z wielu dostępnych domen powiązanych z Duolingo. Czy zaufałbyś wiadomości e-mail od duolingo.live, duolingo.tech, duolingo.world lub duolingo.life? Wszystkie te domeny są obecnie dostępne za mniej niż 10 dolarów, podczas gdy nieco bardziej atrakcyjna domena duolingo.club kosztuje stosunkowo sporo, bo około 600 dolarów (w chwili pisania tego tekstu).

Mając Twój adres e-mail i hasło, przestępcy mogą rozpocząć ataki na Twoje inne konta w Internecie.

Jak uchronić się przed oszustwami typu phishing w Duolingo?

Jeśli obawiasz się, że Twoje dane mogły trafić do zbioru danych z 2,6 miliona wpisów, pierwszą rzeczą, jaką powinieneś zrobić, to przejść na stronę Haveibeenpwned i wpisać swój adres e-mail. Jeżeli się tam znajdziesz, zobaczysz, w jakich naruszeniach bezpieczeństwa Twoje dane zostały ujawnione.

Następnie powinieneś zrezygnować z subskrypcji wszystkich e-maili od Duolingo. I tak są irytujące, a jeśli jakieś dotrą do Twojej skrzynki odbiorczej, będziesz miał pewność, że pochodzą od oszustów. Zrób to, korzystając z historycznej, prawdziwej wiadomości z tej usługi, ponieważ nawet przyciski rezygnacji z subskrypcji mogą być fałszywe!

Zawsze dobrym rozwiązaniem jest ustawienie unikatowego hasła dla każdej usługi, z której korzystasz. W ten sposób, jeśli Twoje hasło zostanie naruszone w wyniku wycieku danych lub przypadkowo je ujawnisz w ataku phishingowym, nie będzie można go użyć w żadnym innym koncie.

Jeśli masz taką możliwość, użyj unikalnego adresu e-mail dla każdej strony internetowej lub aplikacji. W ten sposób łatwo ukryjesz swój adres e-mail i uniemożliwisz jego przekazywanie w celu wykorzystania w innych oszustwach lub kampaniach spamowych. W tym celu zalecamy skorzystanie z opcji przekazywania wiadomości e-mail typu catch-all.

Duolingo to nie jedyna opcja nauki języka

Jeśli nie podoba Ci się sposób, w jaki Duolingo udostępniło Twoje dane publiczne i prywatne poprzez swoje API, albo frustruje Cię jego podejście dydaktyczne, możesz rozważyć porzucenie Duo na dobre.

Rezygnacja z Duolingo nie oznacza, że musisz całkowicie porzucić naukę języków. W Internecie istnieje wiele doskonałych witryn, które mogą Ci pomóc w nauce języka.