Duolingo, celosvětově oblíbená platforma pro jazykové vzdělávání, se pyšní desítkami milionů aktivních uživatelů každý měsíc. Nicméně, začátkem roku 2023 se objevily zprávy o bezpečnostním incidentu, kdy došlo k úniku dat, který odhalil informace více než 2,5 milionu uživatelů.
Tento incident způsobil únik citlivých i veřejných dat uživatelů, včetně jejich skutečných jmen, e-mailových adres, telefonních čísel a kurzů, do kterých se zapsali. V následujícím textu se dozvíte podrobnosti o této události.
Únik dat Duolingo: Jak k němu došlo?
Veřejnost se o tomto problému dozvěděla v lednu 2023, když se na hackerském fóru objevila nabídka k prodeji dat z 2,6 milionu uživatelských účtů za cenu 1 500 $.
Toto fórum již bylo uzavřeno. Nicméně bezpečnostní experti z VX-Underground odhalili, že data se nyní prodávají na nové verzi fóra za 8 kreditů, což odpovídá přibližně 2,13 $.
Hacker tvrdí, že data získal skenováním odkrytého API a jako důkaz sdílel vzorek 1 000 účtů. Útočník s největší pravděpodobností vložil e-mailové adresy z předchozích úniků do API, aby ověřil, zda jsou propojeny s aktivními účty Duolingo. Tímto způsobem vytvořil soubor dat obsahující veřejné i neveřejné informace.
Zástupce Duolinga tvrdí, že data byla získána z veřejně dostupných profilových informací. Avšak toto tvrzení je těžké plně přijmout, protože mezi získanými daty byla i skutečná jména uživatelů, veřejné přihlašovací údaje, pokrok v jazykovém vzdělávání a e-mailové adresy, které obvykle nejsou veřejné.
Kdo byl postižen únikem dat z Duolingo?
Podle výzkumu společnosti Surfshark byl únik dat z Duolingo nejvíce zasažen Spojenými státy, kde bylo ohroženo téměř 1 milion účtů. Na druhém místě se umístil Jižní Súdán se 175 000 postiženými účty, následovaný Španělskem (123 000), Francií (105 000) a Spojeným královstvím (98 000).
Z každého napadeného e-mailového účtu uniklo přibližně pět datových položek, včetně jména, uživatelského jména, profilového obrázku, jazyka a země. V některých případech byly odhaleny všechny detaily uživatele.
Jaké je další využití zcizených dat?
Zprostředkovatelé dat často shromažďují data ze sociálních médií a následně je prodávají třetím stranám pro různé marketingové účely. Nicméně, kybernetičtí zločinci mohou využít uniklá data uživatelů Duolingo k provádění útoků sociálního inženýrství, například cílených phishingových útoků, kdy zneužívají skutečná jména obětí a platné e-mailové adresy.
Postižení uživatelé mohou dostávat personalizované phishingové e-maily – například nabídky slev na jazykové kurzy – díky uniklým jménům, informacím o postupu v kurzech Duolingo a podrobnostem o jejich domovské zemi. Tyto e-maily mohou dokonce obsahovat pozvánky na cesty do zemí, kde se mluví jazykem, který se uživatel učí.
Kybernetičtí útočníci se také mohou vydávat za zástupce Duolinga a posílat e-maily s odkazy na podvodné verze placené platformy Duolingo nebo na falešné prémiové kurzy. Pokud uživatel klikne na tyto odkazy a zadá své platební údaje, útočník může tyto údaje odcizit.
Jak postupovat po úniku dat z Duolingo?
Odstraňování dat z webových stránek a aplikací je častý problém, který se týká mnoha velkých technologických společností. Například v dubnu 2021 došlo k úniku dat přibližně 500 milionů uživatelů LinkedIn.
Pokud máte podezření, že vaše data mohla být ohrožena v důsledku tohoto úniku, existují kroky, které můžete podniknout pro nápravu. Jedním z nich je ověření, zda vaše informace nebyly kompromitovány, prostřednictvím webové stránky HaveIBeenPwned. Tato platforma uvádí, že všechna data z úniku Duolingo již byla přidána do její databáze.
Abyste se chránili před phishingovými útoky, důkladně prověřujte e-maily, zvláště ty, které se zdají být naléhavé. Ověřujte adresy odesílatelů, neklikejte na podezřelé odkazy a přílohy a zvažte instalaci antivirového softwaru pro lepší ochranu před malwarem v phishingových e-mailech.
Mějte se na pozoru před útoky, kdy se útočník vydává za někoho jiného, a nikdy nesdílejte citlivé informace, jako jsou uživatelská jména a hesla, prostřednictvím e-mailu, protože Duolingo takové informace prostřednictvím e-mailu nevyžaduje. Řiďte se také radami poskytovatele, změňte si heslo a zvažte nastavení dvoufaktorového ověřování.
Co když si nejste jisti bezpečnostními opatřeními, které Duolingo implementovalo pro ochranu uživatelských dat? Nebo možná pochybujete o účinnosti vašich vlastních opatření? V takovém případě můžete vyzkoušet jiné aplikace pro jazykové vzdělávání.
Ochrana dat a posílení obrany
Úniky dat jsou čím dál častější a ukradené údaje mohou být využívány pro různé účely, od marketingu až po kybernetické útoky, včetně phishingových pokusů. Aktéři se zlými úmysly mají nyní přístup k mnoha informacím uživatelů Duolingo, včetně jejich skutečných jmen a e-mailových adres.
Uživatelé by měli podniknout proaktivní kroky pro řešení úniků dat, včetně toho, jak rozpoznat potenciální pokusy o napadení a vydávání se za někoho jiného a jak bojovat proti phishingovým útokům.