A Duolingo nyelvtanuló alkalmazást feltörték, így a kiberbűnözők hozzáférhetnek az Ön nevéhez és tartózkodási helyéhez. Íme, miért számít ez.
A Duolingo a világ egyik legnépszerűbb nyelvtanuló alkalmazása, több tucat millió aktív havi felhasználóval büszkélkedhet. 2023 elején azonban felröppent a hír, hogy a Duolingo adatvédelmi incidenst szenvedett el, amely több mint 2,5 millió felhasználó adatait tette közzé.
A jogsértés nyilvános és privát felhasználói információkat szivárogtatott ki, beleértve a valódi neveket, e-mail címeket, telefonszámokat és beiratkozott tanfolyamokat. Íme, amit tudnod kell.
A Duolingo adatszivárgása: mi történt?
A nyilvánosság 2023 januárjában értesült a problémáról, amikor 2,6 millió ügyfélfiók adatait árulták egy hacker fórumon 1500 dollárért.
A fórum most bezárt. A VX-Underground biztonsági kutatói azonban azt találták, hogy az adatokat a fórum új verziójában nyolc webhely kreditért árulják, ami körülbelül 2,13 dollárt jelent.
A hacker azt állítja, hogy kikaparta az adatokat egy nyilvános API-ból, és megosztott egy mintát 1000 fiókból. A támadó valószínűleg betáplálta a múltbeli jogsértésekből származó e-mail-címeket az API-ba, hogy ellenőrizze, kapcsolódnak-e aktív Duolingo-fiókokhoz, így létrehozva egy nyilvános és nem nyilvános adatokat tartalmazó adatkészletet.
A Duolingo szóvivőjének magyarázata az, hogy az adatokat nyilvános profiladatokból kaparták ki. Nehéz azonban teljes mértékben elfogadni ezt az állítást, mivel a kikapart adatok között szerepelt a felhasználók valódi neve, nyilvános bejelentkezési adatai, nyelvtanulási folyamata és e-mail címei, amelyek általában nem nyilvánosak.
Kit érintett a Duolingo Hack?
Alapján egy Surfshark kutatás, a Duolingo adatszivárgása az Egyesült Államokat sújtotta a leginkább, és csaknem 1 millió fiókot érintett. Dél-Szudán a második helyen végzett 175 000 érintett fiókkal, ezt követi Spanyolország (123 000), Franciaország (105 000) és az Egyesült Királyság (98 000).
Mindegyik feltört e-mail fiókhoz körülbelül öt adatpont szivárgott ki, beleértve a nevét, felhasználónevét, profilképét, nyelvét és országát. Egyes esetekben a felhasználó összes adata nyilvánosságra került.
Mi történik ezután a lekapart adatokkal?
Az adatbrókerek gyakran gyűjtenek kikapart közösségimédia-adatokat és értékesítik azokat harmadik feleknek különféle célokra, beleértve a marketinget is. A kiberbűnözők azonban felhasználhatják a Duolingo-felhasználók kiszivárgott adatait a végrehajtáshoz social engineering támadások, mint a célzott adathalász támadások, az áldozatok valódi nevének és érvényes e-mail címének felhasználásával.
Az érintettek személyre szabott adathalász e-maileket kaphatnak – például kedvezményes nyelvtanfolyamokat – a kiszivárgott neveknek, a Duolingo-tanfolyam előrehaladásának és az ország adatainak köszönhetően. Ezek az e-mailek tartalmazhatnak utazási meghívókat is olyan országokba, ahol beszélik az Ön által tanult nyelvet.
A kiberbűnözők a Duolingo személyes adatait is kiadhatják, és e-maileket küldhetnek a Duolingo fizetős verziójának vagy prémium kurzusának tűnő linkjeivel. Ha ezekre a linkekre kattint, és megadja fizetési adatait, a támadó ellophatja az Ön adatait.
Hogyan kezeljük a Duolingo adatszivárgását
A webhelyekről és alkalmazásokból származó adatok selejtezése jól ismert probléma, amely számos nagy technológiai vállalatot érint. Például 2021 áprilisában mintegy 500 millió LinkedIn-felhasználó adatait kaparták ki.
Ha azt gyanítja, hogy adatai kiszivárogtak a jogsértés során, vannak olyan lépések, amelyeket megtehet a probléma megoldására. Az egyik annak ellenőrzése, hogy az Ön adatait nem veszélyeztette-e a HaveIBeenPwned webhely meglátogatása. Ez azt állítja, hogy az összes megsértett Duolingo adat már az adatbázisában volt.
Az adathalászat elkerülése érdekében alaposan ellenőrizze az e-maileket, különösen a sürgőseket. Ellenőrizze a feladók címét, ne kattintson a gyanús linkekre és mellékletekre, és fontolja meg víruskereső szoftver telepítését az adathalász e-mailekben található rosszindulatú programok elleni fokozott védelem érdekében.
Óvakodjon a megszemélyesítési támadásoktól és soha ne osszon meg bizalmas információkat, például felhasználóneveket és jelszavakat e-mailben, mivel a Duolingo nem kér ilyen adatokat az e-mailekben. Ezenkívül kövesse a szállítói tanácsokat, változtassa meg jelszavát, és fontolja meg a kéttényezős hitelesítés beállítását.
Mi a teendő, ha nem biztos abban, hogy a Duolingo milyen biztonsági intézkedéseket hozott a felhasználói adatok védelme érdekében? Vagy talán kétségei vannak tettei hatékonyságával kapcsolatban? Ebben az esetben ki lehet próbálni egyéb nyelvtanuló alkalmazások.
Védje meg adatait és erősítse meg védelmét
Az adatszivárgás egyre gyakoribb, és az ellopott adatok különféle célokat szolgálhatnak, a marketingtől a kibertámadásokig, beleértve az adathalász kísérleteket is. Jelenleg a rosszindulatú szereplők sok Duolingo-felhasználó információihoz férnek hozzá, beleértve a valódi nevüket és e-mail címüket.
Az adatvédelmi incidensek kezelése érdekében a felhasználóknak proaktív lépéseket kell tenniük, beleértve a lehetséges incidensek és a megszemélyesítési kísérletek azonosítását, valamint az adathalász támadások elleni küzdelmet.
