Електронні листи, які надходять від сови Duolingo, часто викликають невелике роздратування. Проте, зараз зловмисники, отримавши доступ до ваших даних та електронної адреси Duolingo, можуть розсилати цілеспрямовані електронні листи, які маскують фішингові пастки.
Саме тому на даний момент не варто довіряти повідомленням, що надходять від Duolingo.
Як саме зловмисники отримали доступ до ваших даних Duolingo?
Дивно, але значна частина вашої інформації профілю Duolingo є загальнодоступною для будь-кого, хто має інтерес та вільний час. Ви можете переглянути основні дані профілю, такі як ім’я користувача, зображення профілю та мови, що вивчаються, просто відвідавши сторінку: https://www.duolingo.com/profile/[username], де [username] – це ім’я користувача профілю, який вас цікавить.
Якщо у вас є декілька вільних годин, ви можете дослідити десятки профілів, перевірити, чи використовуються імена користувачів в інших місцях, або навіть скористатися зворотним пошуком зображення профілю, щоб побачити, де ще воно з’являється в інтернеті.
Це може бути цікавим способом проведення часу, але не надто ефективним, якщо ваша мета – зібрати велику кількість даних. Набагато простіше створити програму, яка автоматично збиратиме дані з веб-сайтів.
Використовуючи інтерфейс прикладного програмування (API) платформи, набагато простіше збирати великі обсяги відкритих даних з таких платформ, як Facebook, Twitter, LinkedIn або Duolingo.
У січні 2023 року видання The Record повідомило, що зловмисники використали API Duolingo для збору загальнодоступних даних 2,6 мільйона користувачів та розмістили їх для продажу на форумі breached.to, якого вже не існує.
Хоча Duolingo підтвердила, що ці дані є дійсними, компанія наполягала, що це загальнодоступна інформація профілів, і не було ніякого злому чи витоку даних.
22 серпня 2023 року ресурс VX-Underground виявив в X (раніше відомій як Twitter), що ці зібрані дані також містять адреси електронної пошти користувачів, і що їх можна використовувати для отримання додаткової інформації, наприклад, імені та номера телефону.
Як дані Duolingo можуть бути використані проти вас?
Електронні листи від Duolingo є настільки поширеними, що стали свого роду мемом. Якщо ви пропустите одне тренування з есперанто, то отримаєте лист з сумною совою Duolingo.
Невдовзі після цього приходять листи з натяками на погрозу, повідомлення про заморожування та розривання вашої серії, а також про ваше падіння в рейтингу, і все це супроводжується закликами пройти трихвилинний урок.
Кожне таке повідомлення електронною поштою містить інформацію про вашу останню активність у вивченні мови та зручне посилання для входу на сайт.
Зараз, коли ваше ім’я, дані Duolingo та активність знаходяться в руках зловмисників, дуже легко автоматично генерувати фішингові листи, що спонукатимуть вас перейти за посиланням.
Ми вважаємо цілком вірогідним, що перехід за посиланням вимагатиме від вас входу в систему, що дозволить зловмисникам також отримати доступ до вашого пароля.
Шахрайські листи можуть виглядати ще більш переконливо, якщо зловмисники скористаються численними доступними доменами Duolingo. Чи довіряли б ви електронному листу з duolingo.live, duolingo.tech, duolingo.world або duolingo.life? На даний момент всі вони доступні за ціною менше 10 доларів, а трохи привабливіший duolingo.club можна придбати за 600 доларів (на момент написання статті).
Маючи вашу електронну адресу та пароль, злочинці можуть атакувати інші ваші онлайн-акаунти.
Як убезпечити себе від фішингових атак з Duolingo?
Якщо ви стурбовані тим, що ваші дані могли потрапити до 2,6 мільйона записів, спочатку зайдіть на сайт haveibeenpwned і введіть свою електронну адресу. Якщо вона є в базі, ви побачите перелік порушень, у яких ваші дані були скомпрометовані.
Далі вам слід відмовитися від розсилок електронних листів від Duolingo. Вони в будь-якому разі дратують, а якщо хтось потрапить до вашої поштової скриньки, ви відразу зрозумієте, що це шахраї. Зробіть це через старий справжній лист, оскільки навіть кнопки відмови від розсилки можуть бути частиною шахрайства!
Завжди доцільно створювати окремий пароль для кожної служби, якою ви користуєтеся. Таким чином, якщо ваш пароль було скомпрометовано внаслідок витоку даних, або ви випадково розкрили його під час фішингової атаки, він не може бути використаний для доступу до інших ваших облікових записів.
Якщо є можливість, використовуйте унікальну електронну адресу для кожного веб-сайту або програми. Вашу адресу електронної пошти легко замаскувати, і це запобіжить її використанню в інших шахрайствах або спам-кампаніях. Для цього ми рекомендуємо просте пересилання всіх електронних листів.
Duolingo – не єдиний спосіб вивчати нову мову
Якщо вас не влаштовує те, що Duolingo зробила ваші загальнодоступні та особисті дані доступними через свій API, або, можливо, вас розчаровує його дидактичний підхід і педагогічна педантичність, ви можете назавжди відмовитися від Duo.
Відмова від Duolingo не означає, що вам потрібно припинити навчання. Існує багато чудових сайтів, які можуть полегшити процес вивчення мов онлайн.