Mesajele electronice de la bufnița Duolingo, în majoritatea cazurilor, pot fi considerate o simplă neplăcere. Cu toate acestea, infractorii cibernetici au reușit să obțină acces la adresele de e-mail și datele Duolingo, ceea ce le permite să trimită mesaje de tip phishing extrem de personalizate, menite să vă atragă în capcane periculoase.
În continuare, vom analiza motivele pentru care nu mai este recomandat să aveți încredere în e-mailurile primite de la Duolingo.
Cum au obținut atacatorii informațiile tale de la Duolingo?
Poate părea surprinzător, dar o mare parte din datele tale Duolingo sunt accesibile oricui manifestă un interes minim și dispune de puțin timp. Informații de bază, cum ar fi numele de utilizator, fotografiile de profil și limbile pe care le studiezi, pot fi vizualizate accesând linkul https://www.duolingo.com/profile/[numele_de_utilizator]. Înlocuiți [numele_de_utilizator] cu profilul persoanei care vă interesează.
Dacă aveți câteva ore libere, puteți analiza zeci de profiluri, verifica dacă numele de utilizator sunt active și pe alte platforme sau puteți chiar realiza o căutare inversă a imaginilor de profil pentru a vedea unde mai apar online aceste fotografii.
Această activitate poate fi o modalitate distractivă de a petrece timpul, însă nu este eficientă dacă doriți să colectați cantități mari de date. De asemenea, este relativ simplu să dezvoltați o aplicație care să extragă automat informațiile de pe site-uri web.
Utilizând Interfața de Programare a Aplicațiilor (API) a unei platforme, devine și mai ușor să colectezi cantități mari de date publice de pe platforme precum Facebook, Twitter, LinkedIn sau Duolingo.
În ianuarie 2023, publicația The Record a raportat că hackerii au folosit API-ul Duolingo pentru a colecta datele publice a 2,6 milioane de utilizatori. Aceste date au fost ulterior scoase la vânzare pe forumul breached.to, care între timp a fost închis.
Deși Duolingo a confirmat validitatea datelor, compania a susținut că acestea sunt date de profil publice și că nu a avut loc niciun atac cibernetic sau breșă de securitate.
Pe 22 august 2023, platforma VX-Underground a dezvăluit pe X (fostul Twitter) că datele colectate conțineau și adresele de e-mail ale utilizatorilor și că ar fi putut fi (și chiar au fost) folosite pentru a obține informații suplimentare, inclusiv numele și numărul de telefon.
Cum pot fi folosite datele Duolingo împotriva ta?
E-mailurile de la Duolingo sunt atât de comune, încât au ajuns să fie un element recurent al memelor online. Dacă, de exemplu, ai omis o zi de studiu al limbii Esperanto, mascota bufniță Duo îți va apărea în căsuța de e-mail pentru a-ți comunica dezamăgirea sa.
Ulterior, vei primi mesaje electronice ușor amenințătoare, notificări care te anunță că numărul tău a fost înghețat sau că ai pierdut poziții în clasament și îndemnuri de a lua o lecție de trei minute.
Fiecare e-mail va include detalii despre activitățile tale recente de studiu al limbilor străine și un link pentru a te conecta rapid la platformă.
Acum, că numele tău, datele Duolingo și activitatea ta au ajuns în posesia unor potențiali infractori, este extrem de ușor pentru aceștia să creeze automat e-mailuri de tip phishing care te vor convinge să accesezi link-ul.
Cel mai probabil, link-ul te va solicita să te autentifici, oferind astfel atacatorilor și parola ta.
E-mailurile frauduloase pot părea și mai autentice dacă atacatorii profită de numeroasele domenii Duolingo disponibile. Ai avea încredere într-un e-mail de la duolingo.live, duolingo.tech, duolingo.world sau duolingo.life? Toate aceste domenii sunt disponibile în prezent pentru mai puțin de 10 dolari, în timp ce domeniul duolingo.club, puțin mai convingător, poate fi achiziționat pentru prețul relativ ridicat de aproximativ 600 de dolari (la momentul scrierii acestui articol).
Cu adresa ta de e-mail și parola, infractorii pot începe să îți atace și celelalte conturi online.
Cum te poți proteja de înșelătoriile de phishing de la Duolingo?
Dacă ești îngrijorat că datele tale ar putea fi incluse în setul de date de 2,6 milioane de intrări, primul lucru pe care ar trebui să-l faci este să accesezi haveibeenpwned și să introduci adresa ta de e-mail. Dacă este prezentă în baza de date, vei vedea breșele de securitate în care au fost expuse datele tale.
În al doilea rând, ar trebui să te dezabonezi de la toate e-mailurile Duolingo. Acestea sunt oricum iritante, iar dacă primești vreunul, vei ști că este vorba de un e-mail fraudulos. Dezabonarea trebuie făcută folosind un mesaj istoric, demn de încredere de la serviciul respectiv, deoarece chiar și butoanele de dezabonare pot fi false!
Este întotdeauna o idee bună să creezi o parolă diferită pentru fiecare serviciu pe care îl folosești. În acest fel, dacă parola ta este compromisă într-o breșă de securitate sau dacă o dezvălui accidental printr-un atac de tip phishing, aceasta nu va putea fi folosită pentru niciunul dintre celelalte conturi.
Dacă este posibil, utilizează o adresă de e-mail unică pentru fiecare site web sau aplicație. Este ușor să îți maschezi adresa de e-mail, iar acest lucru va împiedica distribuirea ei pentru a fi folosită în alte escrocherii sau campanii de spam. Pentru a face acest lucru, recomandăm redirecționarea simplă a e-mailurilor.
Duolingo nu este singura modalitate de a învăța o limbă străină
Dacă nu ești mulțumit de modul în care Duolingo a făcut publice datele tale personale prin intermediul propriului API sau dacă ești frustrat de tacticile sale didactice și de pedanteria pedagogică, te poți gândi să renunți definitiv la Duo.
Renunțarea la Duolingo nu înseamnă că trebuie să abandonezi studiile. Există numeroase site-uri excelente care pot facilita învățarea limbilor străine online.