Zasáhl vás Duolingo Data Breach? Zde je další postup

Duolingo, celosvětově oblíbená platforma pro jazykové vzdělávání, se pyšní desítkami milionů aktivních uživatelů každý měsíc. Nicméně, začátkem roku 2023 se objevily zprávy o bezpečnostním incidentu, kdy došlo k úniku dat, který odhalil informace více než 2,5 milionu uživatelů.

Tento incident způsobil únik citlivých i veřejných dat uživatelů, včetně jejich skutečných jmen, e-mailových adres, telefonních čísel a kurzů, do kterých se zapsali. V následujícím textu se dozvíte podrobnosti o této události.

Únik dat Duolingo: Jak k němu došlo?

Veřejnost se o tomto problému dozvěděla v lednu 2023, když se na hackerském fóru objevila nabídka k prodeji dat z 2,6 milionu uživatelských účtů za cenu 1 500 $.

Toto fórum již bylo uzavřeno. Nicméně bezpečnostní experti z VX-Underground odhalili, že data se nyní prodávají na nové verzi fóra za 8 kreditů, což odpovídá přibližně 2,13 $.

Hacker tvrdí, že data získal skenováním odkrytého API a jako důkaz sdílel vzorek 1 000 účtů. Útočník s největší pravděpodobností vložil e-mailové adresy z předchozích úniků do API, aby ověřil, zda jsou propojeny s aktivními účty Duolingo. Tímto způsobem vytvořil soubor dat obsahující veřejné i neveřejné informace.

Zástupce Duolinga tvrdí, že data byla získána z veřejně dostupných profilových informací. Avšak toto tvrzení je těžké plně přijmout, protože mezi získanými daty byla i skutečná jména uživatelů, veřejné přihlašovací údaje, pokrok v jazykovém vzdělávání a e-mailové adresy, které obvykle nejsou veřejné.

Kdo byl postižen únikem dat z Duolingo?

Podle výzkumu společnosti Surfshark byl únik dat z Duolingo nejvíce zasažen Spojenými státy, kde bylo ohroženo téměř 1 milion účtů. Na druhém místě se umístil Jižní Súdán se 175 000 postiženými účty, následovaný Španělskem (123 000), Francií (105 000) a Spojeným královstvím (98 000).

Z každého napadeného e-mailového účtu uniklo přibližně pět datových položek, včetně jména, uživatelského jména, profilového obrázku, jazyka a země. V některých případech byly odhaleny všechny detaily uživatele.

Jaké je další využití zcizených dat?

Zprostředkovatelé dat často shromažďují data ze sociálních médií a následně je prodávají třetím stranám pro různé marketingové účely. Nicméně, kybernetičtí zločinci mohou využít uniklá data uživatelů Duolingo k provádění útoků sociálního inženýrství, například cílených phishingových útoků, kdy zneužívají skutečná jména obětí a platné e-mailové adresy.

Postižení uživatelé mohou dostávat personalizované phishingové e-maily – například nabídky slev na jazykové kurzy – díky uniklým jménům, informacím o postupu v kurzech Duolingo a podrobnostem o jejich domovské zemi. Tyto e-maily mohou dokonce obsahovat pozvánky na cesty do zemí, kde se mluví jazykem, který se uživatel učí.

Kybernetičtí útočníci se také mohou vydávat za zástupce Duolinga a posílat e-maily s odkazy na podvodné verze placené platformy Duolingo nebo na falešné prémiové kurzy. Pokud uživatel klikne na tyto odkazy a zadá své platební údaje, útočník může tyto údaje odcizit.

Jak postupovat po úniku dat z Duolingo?

Odstraňování dat z webových stránek a aplikací je častý problém, který se týká mnoha velkých technologických společností. Například v dubnu 2021 došlo k úniku dat přibližně 500 milionů uživatelů LinkedIn.

Pokud máte podezření, že vaše data mohla být ohrožena v důsledku tohoto úniku, existují kroky, které můžete podniknout pro nápravu. Jedním z nich je ověření, zda vaše informace nebyly kompromitovány, prostřednictvím webové stránky HaveIBeenPwned. Tato platforma uvádí, že všechna data z úniku Duolingo již byla přidána do její databáze.

Abyste se chránili před phishingovými útoky, důkladně prověřujte e-maily, zvláště ty, které se zdají být naléhavé. Ověřujte adresy odesílatelů, neklikejte na podezřelé odkazy a přílohy a zvažte instalaci antivirového softwaru pro lepší ochranu před malwarem v phishingových e-mailech.

Mějte se na pozoru před útoky, kdy se útočník vydává za někoho jiného, a nikdy nesdílejte citlivé informace, jako jsou uživatelská jména a hesla, prostřednictvím e-mailu, protože Duolingo takové informace prostřednictvím e-mailu nevyžaduje. Řiďte se také radami poskytovatele, změňte si heslo a zvažte nastavení dvoufaktorového ověřování.

Co když si nejste jisti bezpečnostními opatřeními, které Duolingo implementovalo pro ochranu uživatelských dat? Nebo možná pochybujete o účinnosti vašich vlastních opatření? V takovém případě můžete vyzkoušet jiné aplikace pro jazykové vzdělávání.

Ochrana dat a posílení obrany

Úniky dat jsou čím dál častější a ukradené údaje mohou být využívány pro různé účely, od marketingu až po kybernetické útoky, včetně phishingových pokusů. Aktéři se zlými úmysly mají nyní přístup k mnoha informacím uživatelů Duolingo, včetně jejich skutečných jmen a e-mailových adres.

Uživatelé by měli podniknout proaktivní kroky pro řešení úniků dat, včetně toho, jak rozpoznat potenciální pokusy o napadení a vydávání se za někoho jiného a jak bojovat proti phishingovým útokům.