Aplikácia na výučbu jazykov Duolingo bola napadnutá, takže kyberzločinci môžu mať prístup k vášmu menu a polohe. Tu je dôvod, prečo na tom záleží.
Duolingo je jednou z najpopulárnejších aplikácií na výučbu jazykov na svete, ktorá sa môže pochváliť desiatkami miliónov aktívnych používateľov mesačne. Začiatkom roku 2023 sa však objavili správy, že Duolingo utrpelo porušenie údajov, ktoré odhalilo údaje viac ako 2,5 milióna používateľov.
Pri porušení unikli verejné a súkromné informácie o používateľoch vrátane skutočných mien, e-mailových adries, telefónnych čísel a zapísaných kurzov. Tu je to, čo potrebujete vedieť.
Duolingo Data Breach: Čo sa stalo?
Verejnosť sa o probléme dozvedela v januári 2023, keď boli údaje z 2,6 milióna zákazníckych účtov ponúknuté na predaj na hackerskom fóre za 1 500 dolárov.
Fórum je teraz zatvorené. Výskumníci v oblasti bezpečnosti z VX-Underground však zistili, že údaje sa predávajú na novej verzii fóra za osem kreditov stránky, čo v prepočte predstavuje približne 2,13 USD.
Hacker tvrdí, že zoškrabal údaje z odhaleného API a zdieľal vzorku z 1 000 účtov. Útočník pravdepodobne vložil do API e-mailové adresy z minulých porušení, aby skontroloval, či sú prepojené s aktívnymi účtami Duolingo, čím vytvoril množinu údajov s verejnými a neverejnými údajmi.
Vysvetlenie od hovorcu Duolingo je, že údaje boli zoškrabané z informácií verejného profilu. Je však ťažké plne akceptovať toto tvrdenie, pretože zoškrabané údaje zahŕňali skutočné mená používateľov, verejné prihlasovacie údaje, pokrok vo výučbe jazykov a e-mailové adresy, ktoré zvyčajne nie sú verejné.
Koho zasiahol hack Duolingo?
Podľa výskum Surfshark, porušenie údajov Duolingo zasiahlo najviac USA a zasiahlo takmer 1 milión účtov. Južný Sudán sa umiestnil na druhom mieste so 175 000 ovplyvnenými účtami, za ním nasledovalo Španielsko (123 000), Francúzsko (105 000) a Spojené kráľovstvo (98 000).
Z každého napadnutého e-mailového účtu uniklo približne päť údajových bodov vrátane ich mena, používateľského mena, profilovej fotky, jazyka a krajiny. V niektorých prípadoch boli odhalené všetky podrobnosti používateľa.
Čo sa stane so zoškrabanými údajmi ďalej?
Sprostredkovatelia údajov často zhromažďujú zoškrabané údaje zo sociálnych médií a predávajú ich tretím stranám na rôzne účely vrátane marketingu. Kyberzločinci však môžu na popravu použiť uniknuté údaje používateľov Duolingo útoky sociálneho inžinierstva, ako sú cielené phishingové útoky s použitím skutočných mien obetí a platných e-mailových adries.
Tí, ktorých sa to týka, mohli dostávať prispôsobené phishingové e-maily – napríklad zľavnené jazykové kurzy – vďaka uniknutým menám, priebehu kurzu Duolingo a podrobnostiam o domovskej krajine. Tieto e-maily môžu obsahovať aj pozvánky na cesty do krajín, kde sa hovorí jazykom, ktorý sa učíte.
Kyberzločinci sa môžu tiež vydávať za Duolingo a posielať e-maily s odkazmi na niečo, čo sa javí ako platená verzia Duolingo alebo prémiový kurz. Ak kliknete na tieto odkazy a zadáte svoje platobné údaje, útočník môže ukradnúť vaše informácie.
Ako sa vysporiadať s porušením údajov Duolingo
Odstraňovanie údajov z webových stránok a aplikácií je dobre známym problémom, ktorý ovplyvňuje mnohé veľké technologické spoločnosti. Napríklad v apríli 2021 údaje od približne 500 miliónov používateľov LinkedIn boli zoškrabané.
Ak máte podozrenie, že vaše údaje unikli pri porušení, existujú kroky, ktoré môžete podniknúť na jeho vyriešenie. Jedným z nich je kontrola, či vaše informácie neboli kompromitované návštevou webovej stránky HaveIBeenPwned. Toto tvrdí, že všetky narušené údaje Duolingo už boli v jeho databáze.
Aby ste predišli phishingu, pozorne kontrolujte e-maily, najmä tie naliehavé. Overujte adresy odosielateľov, neklikajte na podozrivé odkazy a prílohy a zvážte inštaláciu antivírusového softvéru na vylepšenú ochranu pred malvérom v e-mailoch typu phishing.
Dávajte si pozor na útoky na odcudzenie identity a nikdy nezdieľajte citlivé informácie, ako sú používateľské mená a heslá, prostredníctvom e-mailu, pretože Duolingo takéto podrobnosti v e-mailoch nepožaduje. Riaďte sa tiež radami dodávateľa, zmeňte si heslo a zvážte nastavenie dvojfaktorovej autentifikácie.
Čo ak si nie ste istí bezpečnostnými opatreniami, ktoré Duolingo prijalo na ochranu používateľských údajov? Alebo možno máte pochybnosti o účinnosti svojich činov? V takom prípade môžete vyskúšať iné aplikácie na učenie jazykov.
Chráňte svoje údaje a posilnite svoju obranu
Porušenie údajov je čoraz bežnejšie a ukradnuté detaily môžu slúžiť na rôzne účely, od marketingu až po kybernetické útoky vrátane pokusov o phishing. V súčasnosti majú záškodníci prístup k mnohým informáciám používateľov Duolingo vrátane ich skutočných mien a e-mailových adries.
Na riešenie porušenia ochrany údajov by používatelia mali podniknúť proaktívne kroky vrátane toho, ako sa naučiť identifikovať potenciálne porušenia a pokusy o odcudzenie identity a bojovať proti phishingovým útokom.