Duolingo – це популярний у світі застосунок для вивчення іноземних мов, яким користуються мільйони людей щомісяця. На початку 2023 року стало відомо про інцидент з витоком даних, який зачепив понад 2,5 мільйона акаунтів користувачів Duolingo.
В результаті несанкціонованого доступу, особисті та конфіденційні відомості користувачів, такі як імена, email-адреси, номери телефонів та інформація про обрані навчальні курси, опинилися під загрозою. Розглянемо цю ситуацію детальніше.
Витік даних у Duolingo: що саме сталося?
Інформація про витік даних з’явилася у січні 2023 року, коли дані 2,6 мільйона облікових записів клієнтів були виставлені на продаж на одному з хакерських форумів за 1500 доларів.
Хоча оригінальний форум вже не працює, дослідники з безпеки VX-Underground виявили, що ці ж дані продаються на його новій версії за 8 кредитів, що еквівалентно приблизно 2,13 долара США.
Хакери стверджують, що отримали доступ до інформації через скомпрометований API, і як доказ надали вибірку з 1000 акаунтів. Ймовірно, зловмисники використали існуючі адреси електронної пошти з минулих витоків, аби перевірити, чи вони пов’язані з активними профілями Duolingo. Таким чином, був сформований масив даних, що містив як загальнодоступну, так і особисту інформацію.
Представники Duolingo заявляють, що витік стосується лише даних із публічних профілів. Однак, це пояснення є сумнівним, оскільки викрадена інформація містить справжні імена користувачів, логіни, відомості про прогрес у навчанні та email-адреси, які не є публічними за визначенням.
Хто постраждав від витоку даних Duolingo?
Згідно з дослідженням Surfshark, найбільше від витоку даних постраждали користувачі зі США, де було скомпрометовано близько 1 мільйона акаунтів. Друге місце займає Південний Судан (175 000 постраждалих акаунтів), далі йдуть Іспанія (123 000), Франція (105 000) та Великобританія (98 000).
Кожен скомпрометований email-адрес містив приблизно п’ять пунктів даних, включаючи ім’я, ім’я користувача, фото профілю, мову та країну проживання. У деяких випадках витік охопив усі дані профілю.
Яким чином використовують викрадені дані?
Брокери даних часто агрегують викрадені відомості з соціальних мереж та продають їх третім особам для різноманітних цілей, в тому числі маркетингу. Проте, кіберзлочинці також можуть використовувати витік даних користувачів Duolingo для здійснення атак соціальної інженерії, зокрема цілеспрямованих фішингових атак, використовуючи справжні імена жертв та їхні дійсні email-адреси.
Постраждалі можуть отримувати персоналізовані фішингові листи, наприклад, про мовні курси зі знижкою, які враховують їхні імена, прогрес у навчанні на Duolingo та країну проживання. Такі електронні листи можуть містити пропозиції подорожей до країн, де розмовляють мовою, яку вивчає користувач.
Зловмисники також можуть маскуватися під представників Duolingo та надсилати листи із посиланнями на фіктивні платні версії Duolingo або преміум-курси. Переходячи за такими посиланнями та вводячи платіжні дані, користувачі ризикують стати жертвами крадіжки їхньої особистої інформації.
Як захистити себе від наслідків витоку даних Duolingo
Випадки витоку даних є, на жаль, звичайною проблемою для багатьох великих технологічних компаній. Наприклад, у квітні 2021 року, дані близько 500 мільйонів користувачів LinkedIn були викрадені.
Якщо ви підозрюєте, що ваші дані могли постраждати під час витоку, ви можете вжити певних заходів, щоб захистити себе. Одним з них є перевірка, чи скомпрометовано ваші дані, на сайті HaveIBeenPwned. Зазначається, що вся викрадена інформація з Duolingo вже є в їхній базі даних.
Для запобігання фішингу, слід уважно перевіряти отримані листи, особливо ті, що мають терміновий характер. Перевіряйте адреси відправників, не клікайте на підозрілі посилання та вкладення, а також розгляньте встановлення антивірусного програмного забезпечення для додаткового захисту від шкідливого програмного забезпечення в електронних листах.
Будьте пильні щодо атак з використанням підробленої особи та ніколи не діліться конфіденційними даними, такими як імена користувачів та паролі, в електронній пошті, оскільки Duolingo не запитує таку інформацію через електронні листи. Крім того, дотримуйтеся порад від постачальника послуг, змініть свій пароль та розгляньте можливість налаштування двофакторної автентифікації.
Що робити, якщо ви не впевнені у ефективності заходів безпеки, які вживає Duolingo для захисту даних користувачів? Або, можливо, ви не впевнені в ефективності своїх власних дій? У такому випадку, варто розглянути альтернативні додатки для вивчення мов.
Захист ваших даних та посилення захисту
Випадки витоку даних трапляються дедалі частіше, а викрадена інформація може використовуватися для різних цілей: від маркетингу до кібератак та фішингових спроб. Зараз зловмисники отримали доступ до значної кількості даних користувачів Duolingo, включаючи їхні імена та електронні адреси.
Для боротьби з наслідками витоків даних, користувачам необхідно вживати профілактичних заходів, зокрема, навчитися ідентифікувати потенційні інциденти та спроби видати себе за іншу особу, а також протистояти фішинговим атакам.