E-maily, které vám posílá Duolingo, mohou být v lepším případě považovány za otravné. Nicméně, kybernetičtí zločinci nyní vlastní vaši e-mailovou adresu a další údaje z Duolingo, což jim umožňuje cílit na vás sofistikovanými phishingovými e-maily.
Zde je vysvětleno, proč již nemůžete automaticky důvěřovat e-mailům, které se tváří jako odeslané z Duolingo.
Jakým způsobem útočníci získali vaše data z Duolingo?
Je překvapivé, že většina vašich dat na Duolingo je veřejně dostupná pro kohokoli, kdo má o to zájem a dostatek času. Základní informace o profilu, jako je uživatelské jméno, profilové obrázky a studované jazyky, si můžete prohlédnout na adrese: https://www.duolingo.com/profile/[uzivatelske_jmeno]. Stačí jen nahradit [uzivatelske_jmeno] uživatelským jménem profilu, který vás zajímá.
Pokud máte dostatek času, můžete procházet desítky profilů a zkoumat, zda se daná uživatelská jména nepoužívají i na jiných platformách. Můžete dokonce zkusit zpětné vyhledávání obrázků pomocí profilového obrázku a zjistit, kde všude se daný obrázek na internetu objevuje.
To je zábavný způsob, jak trávit čas, ale je neefektivní, pokud je vaším cílem shromáždit obrovské množství dat. Proto není příliš složité vytvořit program, který automaticky bude shromažďovat data z webových stránek za vás.
Ještě snadnější je shromažďovat hromadná veřejná data z platforem jako Facebook, Twitter, LinkedIn nebo právě Duolingo pomocí jejich vlastního aplikačního programovacího rozhraní (API).
V lednu 2023 The Record informoval o tom, že hackeři využili API Duolingo ke stažení veřejných dat o 2,6 milionu uživatelů a tyto data nabídli k prodeji na nyní již zrušeném fóru broken.to.
Ačkoli Duolingo potvrdilo, že data jsou skutečná, zdůraznilo, že se jedná o veřejně dostupné profilové informace a že nedošlo k žádnému hacknutí ani úniku dat.
22. srpna 2023 VX-Underground, platforma sledující malware, zveřejnila na X (dříve známém jako Twitter), že tato stažená data obsahují i e-mailové adresy uživatelů. Tato data mohla být a byla zneužita k získání dalších informací, včetně jména a telefonního čísla.
Jakým způsobem mohou být data z Duolingo zneužita proti vám?
E-maily od Duolingo jsou tak běžné, že se staly téměř memem. Když vynecháte jeden den cvičení v esperantu, sova Duo, maskot Duolingo, se objeví ve vaší e-mailové schránce a dá vám vědět, že je smutná.
Krátce na to přicházejí neurčitě výhružné e-maily, které vás informují o tom, že vaše série byla zmrazena, pak přerušena a že klesáte v žebříčcích. Následují výzvy, abyste si hned vzali tříminutovou lekci.
Každý z těchto e-mailů obsahuje informace o vaší nedávné aktivitě v učení jazyků a praktický odkaz, na kterém se můžete ke svému účtu přihlásit.
Nyní, když jsou vaše jméno, informace o vašem používání Duolingo a aktivity v rukou potenciálních zločinců, je velmi snadné automaticky vytvářet phishingové e-maily, které vás přimějí kliknout na škodlivý odkaz.
Podle našeho názoru je pravděpodobné, že se vás odkaz pokusí přimět k přihlášení. Tím by útočníci získali i vaše heslo.
Podvodné e-maily mohou vypadat ještě věrohodněji, pokud útočníci využijí mnoho dostupných domén Duolingo. Věřili byste e-mailu z domény duolingo.live, duolingo.tech, duolingo.world nebo duolingo.life? Všechny jsou momentálně k dostání za cenu nižší než 10 dolarů. Doména duolingo.club, která působí o něco důvěryhodněji, se prodává za poměrně vysokou cenu kolem 600 dolarů (v době psaní tohoto článku).
S vaší e-mailovou adresou a heslem mohou zločinci začít útočit i na vaše další online účty.
Jak se chránit před phishingovými podvody spojenými s Duolingo?
Pokud se obáváte, že se vaše data mohla ocitnout mezi 2,6 miliony uniklých záznamů, první věcí, kterou byste měli udělat, je navštívit haveibeenpwned a zadat svou e-mailovou adresu. Pokud se tam objeví, zjistíte, při kterých únicích dat byla vaše data ohrožena.
Dalším krokem by mělo být odhlášení se ze všech e-mailů od Duolingo. Jsou stejně otravné, a pokud se nějaké dostanou do vaší schránky, budete mít jistotu, že se jedná o podvod. Nicméně, odhlaste se pomocí ověřené zprávy od skutečné služby. I odhlašovací tlačítka totiž mohou být součástí podvodu!
Vždy je dobrý nápad používat jedinečné heslo pro každou službu, kterou používáte. Tímto způsobem, pokud dojde k úniku vašeho hesla nebo ho omylem prozradíte při phishingovém útoku, nebude možné ho použít na žádném jiném z vašich účtů.
Pokud je to možné, používejte také pro každý web nebo aplikaci jinou e-mailovou adresu. Je jednoduché maskovat svou e-mailovou adresu, čímž zabráníte jejímu použití v dalších podvodných nebo spamových kampaních. Pro tento účel doporučujeme používat jednoduché univerzální přeposílání e-mailů.
Duolingo není jediný způsob, jak se učit nový jazyk
Pokud nejste spokojeni se způsobem, jakým Duolingo zpřístupňuje vaše veřejná a soukromá data prostřednictvím svého vlastního API, nebo jste frustrováni jeho didaktickým přístupem a pedantickým stylem výuky, možná byste měli uvažovat o trvalém opuštění Duolingo.
Odejít z Duolingo neznamená, že se musíte vzdát učení se novým jazykům. Existuje mnoho skvělých stránek, které vám mohou pomoci s online studiem jazyků.