Ось чому не варто довіряти електронним листам від Duolingo

Електронні листи від Duolingo owl зазвичай викликають роздратування. Але тепер кіберзлочинці заволоділи вашою адресою електронної пошти та даними Duolingo, тож можуть надсилати вам цільові електронні листи, щоб заманити вас у фішингові пастки.

Ось чому ви більше не можете довіряти електронним листам від Duolingo.

Як зловмисники отримали вашу інформацію з Duolingo?

Вірте чи ні, але більшість ваших даних Duolingo доступні будь-кому, хто цікавиться цим і має певний час. Ви можете переглянути основні дані профілю, такі як ім’я користувача, зображення профілю та мови, які вивчаються, відвідавши https://www.duolingo.com/profile/[username]—ім’я користувача — це профіль того, хто вас цікавить.

Якщо у вас є кілька годин, щоб убити, ви можете дослідити кілька десятків профілів, перевірити, чи використовуються імена користувачів деінде, або навіть запустити зворотний пошук зображення на зображенні профілю та подивитися, де ще воно з’являється в Інтернеті.

Це веселий спосіб згаяти час, але неефективний, якщо ваша мета — зібрати величезну кількість даних, і досить просто створити програму, яка збиратиме дані з веб-сайтів замість вас.

Використовуючи власний інтерфейс прикладного програмування (API) платформи, ще легше збирати величезні обсяги публічних даних із таких платформ, як Facebook, Twitter, LinkedIn або Duolingo.

У січні 2023 р. Запис повідомили, що хакери використовували API Duolingo, щоб зібрати загальнодоступні дані 2,6 мільйонів користувачів, і розмістили дані для продажу на неіснуючому форумі breached.to.

У той час як Duolingo визнала, що дані були дійсними, компанія наполягала на тому, що це загальнодоступні дані профілю і що не було зламу чи витоку даних.

22 серпня 2023 року ринок зловмисного програмного забезпечення VX-Underground виявив на X (платформа, раніше відома як Twitter), що ці зібрані дані також містили адреси електронної пошти користувачів і що вони могли бути використані для отримання додаткової інформації, включаючи ім’я та номер телефону. .

Як дані Duolingo можуть бути використані проти вас?

Електронні листи від Duolingo настільки поширені, що стали основним мемом. Якщо ви пропустите тренування з есперанто на один день, у вашій скриньці з’явиться талісман сови Duolingo, який повідомить вам, що він сумний.

Невдовзі після цього з’являються електронні листи з невиразною погрозою, разом із повідомленнями про те, що вашу серію заморожено, а потім перервано, і що ви опускаєтесь у таблиці лідерів, а потім із закликами пройти трихвилинний урок.

Кожне повідомлення електронної пошти міститиме інформацію про вашу недавню діяльність із вивчення мови та містить зручне посилання для входу на сайт.

Тепер, коли ваше ім’я, інформація Duolingo та активність знаходяться в руках потенційних злочинців, дуже легко автоматично створювати фішингові електронні листи, які переконуватимуть вас натиснути посилання.

Ми вважаємо ймовірним, що посилання попросить вас увійти, надаючи зловмисникам також ваш пароль.

Шахрайські електронні листи можуть виглядати ще більш достовірними, якщо зловмисники скористаються багатьма доступними доменами Duolingo. Чи довіряєте ви електронному листу від duolingo.live, duolingo.tech, duolingo.world або duolingo.life? Наразі всі доступні за ціною менше 10 доларів, тоді як трохи привабливіший duolingo.club можна придбати за порівняно високу ціну близько 600 доларів (на момент написання статті).

Маючи вашу адресу електронної пошти та пароль, злочинці можуть атакувати інші ваші облікові записи в Інтернеті.

Як захистити себе від фішингу Duolingo

Якщо ви хвилюєтеся, що ваші дані можуть бути включені до 2,6 мільйона записів, перше, що вам слід зробити, це перейти до haveibeenpwnedі введіть адресу електронної пошти. Якщо він є, ви побачите порушення, під час яких ваші дані були розкриті.

Далі вам слід скасувати підписку на всі листи Duolingo. Вони все одно дратують, і якщо хтось потрапить у вашу поштову скриньку, ви знатимете, що це від шахраїв. Зробіть це, використовуючи історичне правдиве повідомлення від служби, оскільки навіть кнопки скасування підписки можуть бути шахрайством!

Завжди доцільно створити окремий пароль для кожної служби, якою ви користуєтеся. Таким чином, якщо ваш пароль було зламано внаслідок витоку даних або ви випадково розкрили його під час фішингової атаки, його не можна буде використовувати в інших ваших облікових записах.

Якщо можете, також використовуйте унікальну електронну адресу для кожного веб-сайту чи програми. Вашу адресу електронної пошти легко замаскувати, і це запобіжить її передачі для використання в інших шахрайствах або спам-кампаніях. Для цього ми рекомендуємо просте пересилання всіх електронних листів.

Duolingo — не єдиний спосіб вивчити нову мову

Якщо ви не задоволені тим, як Duolingo зробив ваші загальнодоступні та приватні дані доступними через власний API, або, можливо, ви розчаровані його дидактичною тактикою та педагогічною педантичністю, ви можете назавжди відмовитися від Duo.

Залишення Duolingo не означає, що ви повинні припинити навчання, і є багато чудових сайтів, які можуть полегшити навантаження на вивчення мов онлайн.