Duolingo je jednou z celosvětově nejoblíbenějších aplikací pro výuku jazyků, která se může pochlubit desítkami milionů aktivních uživatelů měsíčně. Počátkem roku 2023 se však objevily zprávy, že Duolingo utrpělo únik dat, který odhalil data více než 2,5 milionu uživatelů.
Porušením uniklo veřejné a soukromé informace o uživatelích, včetně skutečných jmen, e-mailových adres, telefonních čísel a zapsaných kurzů. Zde je to, co potřebujete vědět.
Table of Contents
Duolingo Data Breach: Co se stalo?
Veřejnost se o problému dozvěděla v lednu 2023, kdy byla data z 2,6 milionu zákaznických účtů dána k prodeji na hackerském fóru za 1 500 $.
Fórum je nyní uzavřeno. Bezpečnostní výzkumníci z VX-Underground však zjistili, že data se prodávají na nové verzi fóra za osm kreditů webu, což v přepočtu činí asi 2,13 $.
Hacker tvrdí, že seškrábal data z odhaleného API a sdílel vzorek z 1000 účtů. Útočník pravděpodobně vložil do API e-mailové adresy z minulých porušení, aby zkontroloval, zda jsou propojeny s aktivními účty Duolingo, a vytvořil tak datovou sadu s veřejnými a neveřejnými daty.
Vysvětlení od mluvčího Duolingo je, že data byla seškrabána z informací veřejného profilu. Je však těžké toto tvrzení plně přijmout, protože seškrábaná data zahrnovala skutečná jména uživatelů, veřejná přihlášení, pokrok ve výuce jazyků a e-mailové adresy, které obvykle nejsou veřejné.
Koho ovlivnil hack Duolingo?
Podle výzkum Surfshark, únik dat Duolingo zasáhl nejtvrději USA a zasáhl téměř 1 milion účtů. Na druhém místě se umístil Jižní Súdán se 175 000 ovlivněnými účty, následovaný Španělskem (123 000), Francií (105 000) a Spojeným královstvím (98 000).
Z každého napadeného e-mailového účtu uniklo přibližně pět datových bodů, včetně jejich jména, uživatelského jména, profilového obrázku, jazyka a země. V některých případech byly odhaleny všechny detaily uživatele.
Co se stane se smazanými daty dále?
Zprostředkovatelé dat často shromažďují seškrabovaná data sociálních médií a prodávají je třetím stranám pro různé účely, včetně marketingu. Kyberzločinci však mohou využít uniklá data uživatelů Duolingo k provádění útoků sociálního inženýrství, jako jsou cílené phishingové útoky, s použitím skutečných jmen obětí a platných e-mailových adres.
Ti, kterých se to týká, mohli dostávat přizpůsobené phishingové e-maily – například zlevněné jazykové kurzy – díky uniklým jménům, průběhu kurzu Duolingo a podrobnostem o domovské zemi. Tyto e-maily mohou také obsahovat pozvánky na cesty do zemí, kde se mluví jazykem, který se učíte.
Kyberzločinci se také mohou vydávat za Duolingo a posílat e-maily s odkazy na něco, co vypadá jako placená verze Duolingo nebo prémiový kurz. Pokud kliknete na tyto odkazy a zadáte své platební údaje, útočník může ukrást vaše údaje.
Jak se vypořádat s porušením dat Duolingo
Odstraňování dat z webových stránek a aplikací je dobře známým problémem, který ovlivňuje mnoho velkých technologických společností. Například v dubnu 2021 byla smazána data od přibližně 500 milionů uživatelů LinkedIn.
Pokud máte podezření, že vaše data unikla při narušení, existují kroky, které můžete podniknout, abyste to napravili. Jedním z nich je kontrola, zda vaše informace nebyly kompromitovány, návštěvou webu HaveIBeenPwned. To tvrdí, že všechna narušená data Duolingo již byla v její databázi.
Abyste zabránili phishingu, pečlivě kontrolujte e-maily, zejména ty naléhavé. Ověřte adresy odesílatelů, neklikejte na podezřelé odkazy a přílohy a zvažte instalaci antivirového softwaru pro lepší ochranu před malwarem v e-mailech typu phishing.
Dejte si pozor na útoky na předstírání identity a nikdy nesdílejte citlivé informace, jako jsou uživatelská jména a hesla, prostřednictvím e-mailu, protože Duolingo takové podrobnosti v e-mailech nepožaduje. Dodržujte také rady dodavatele, změňte si heslo a zvažte nastavení dvoufaktorového ověřování.
Co když si nejste jisti bezpečnostními opatřeními, které Duolingo přijalo k ochraně uživatelských dat? Nebo snad máte pochybnosti o účinnosti svých činů? V takovém případě můžete vyzkoušet jiné aplikace pro výuku jazyků.
Chraňte svá data a posílejte svou obranu
Úniky dat jsou stále častější a ukradené detaily mohou sloužit různým účelům, od marketingu po kybernetické útoky, včetně pokusů o phishing. Aktéři se zlými úmysly mají v současné době přístup k mnoha informacím uživatelů Duolingo, včetně jejich skutečných jmen a e-mailových adres.
K řešení narušení dat by uživatelé měli podniknout proaktivní kroky, včetně toho, jak se naučit identifikovat potenciální narušení a pokusy o předstírání jiné identity a bojovat proti phishingovým útokům.