Į kalbų mokymosi programą „Duolingo“ buvo įsilaužta, todėl kibernetiniai nusikaltėliai gali turėti prieigą prie jūsų vardo ir vietos. Štai kodėl tai svarbu.
„Duolingo“ yra viena populiariausių kalbų mokymosi programų pasaulyje, kuri gali pasigirti dešimtimis milijonų aktyvių mėnesinių vartotojų. Tačiau 2023 m. pradžioje pasklido žinia, kad „Duolingo“ patyrė duomenų pažeidimą, dėl kurio buvo atskleisti daugiau nei 2,5 mln. vartotojų duomenys.
Dėl pažeidimo buvo nutekinta vieša ir privati naudotojų informacija, įskaitant tikrus vardus, el. pašto adresus, telefonų numerius ir įtrauktus kursus. Štai ką reikia žinoti.
Duolingo duomenų pažeidimas: kas atsitiko?
Visuomenė apie šią problemą sužinojo 2023 m. sausio mėn., kai 2,6 milijono klientų paskyrų duomenys buvo parduoti įsilaužimo forume už 1500 USD.
Forumas dabar uždarytas. Tačiau saugumo tyrinėtojai iš VX-Underground nustatė, kad duomenys buvo parduodami naujoje forumo versijoje už aštuonis svetainės kreditus, o tai kainuoja apie 2,13 USD.
Įsilaužėlis teigia, kad ištraukė duomenis iš atskleistos API ir pasidalijo pavyzdžiu iš 1000 paskyrų. Tikėtina, kad užpuolikas į API įvedė ankstesnių pažeidimų el. pašto adresus, kad patikrintų, ar jie susieti su aktyviomis „Duolingo“ paskyromis, sukurdamas duomenų rinkinį su viešais ir neviešais duomenimis.
„Duolingo“ atstovas spaudai paaiškino, kad duomenys buvo išbraukti iš viešo profilio informacijos. Tačiau sunku visiškai sutikti su šiuo tvirtinimu, nes nuskaityti duomenys apėmė tikruosius vartotojų vardus, viešus prisijungimus, kalbos mokymosi pažangą ir el. pašto adresus, kurie paprastai nėra vieši.
Kas buvo paveiktas Duolingo įsilaužimo?
Pagal Surfshark tyrimas, „Duolingo“ duomenų pažeidimas labiausiai paveikė JAV ir paveikė beveik 1 mln. paskyrų. Antroje vietoje atsidūrė Pietų Sudanas su 175 000 paveiktų paskyrų, trečioje – Ispanija (123 000), Prancūzija (105 000) ir JK (98 000).
Kiekvienoje pažeistoje el. pašto paskyroje buvo nutekėję maždaug penki duomenų taškai, įskaitant jų vardą, vartotojo vardą, profilio nuotrauką, kalbą ir šalį. Kai kuriais atvejais buvo atskleista visa vartotojo informacija.
Kas atsitiks su nuskaitytais duomenimis?
Duomenų brokeriai dažnai renka ištrintus socialinės žiniasklaidos duomenis ir parduoda juos trečiosioms šalims įvairiais tikslais, įskaitant rinkodarą. Tačiau kibernetiniai nusikaltėliai gali naudoti nutekėjusius „Duolingo“ naudotojų duomenis vykdydami socialinės inžinerijos atakos, pavyzdžiui, tikslinės sukčiavimo atakos, naudojant tikrus aukų vardus ir galiojančius el. pašto adresus.
Dėl nutekintų vardų, „Duolingo“ kursų pažangos ir išsamios informacijos apie gimtąją šalį nukentėjusieji gali gauti pritaikytus sukčiavimo el. laiškus, pvz., kalbos kursus su nuolaida. Šiuose el. laiškuose taip pat gali būti kvietimų keliauti į šalis, kuriose kalbama jūsų mokoma kalba.
Kibernetiniai nusikaltėliai taip pat gali apsimesti „Duolingo“ ir siųsti el. laiškus su nuorodomis į mokamą „Duolingo“ versiją arba „premium“ kursą. Jei spustelėsite šias nuorodas ir įvesite išsamią mokėjimo informaciją, užpuolikas gali pavogti jūsų informaciją.
Kaip elgtis su Duolingo duomenų pažeidimu
Duomenų pašalinimas iš svetainių ir programų yra gerai žinoma problema, turinti įtakos daugeliui didelių technologijų įmonių. Pavyzdžiui, 2021 m. balandžio mėn. buvo iškrapštyti maždaug 500 milijonų „LinkedIn“ vartotojų duomenys.
Jei įtariate, kad jūsų duomenys buvo nutekinti pažeidus, galite imtis veiksmų, kad tai išspręstumėte. Vienas iš jų yra patikrinti, ar jūsų informacija nebuvo pažeista apsilankę HaveIBeenPwned svetainėje. Tai teigia, kad visi pažeisti Duolingo duomenys jau buvo jo duomenų bazėje.
Kad išvengtumėte sukčiavimo, atidžiai patikrinkite el. laiškus, ypač skubius. Patvirtinkite siuntėjų adresus, nespustelėkite įtartinų nuorodų ir priedų ir apsvarstykite galimybę įdiegti antivirusinę programinę įrangą, kad padidintumėte apsaugą nuo kenkėjiškų programų sukčiavimo el. laiškuose.
Saugokitės apsimetinėjimo atakų ir niekada nesidalykite slapta informacija, pvz., vartotojų vardais ir slaptažodžiais el. paštu, nes „Duolingo“ neprašo tokios informacijos el. laiškuose. Taip pat vadovaukitės pardavėjo patarimais, pakeiskite slaptažodį ir apsvarstykite galimybę nustatyti dviejų veiksnių autentifikavimą.
Ką daryti, jei nesate tikri dėl saugos priemonių, kurių ėmėsi „Duolingo“, kad apsaugotų vartotojo duomenis? O gal abejojate savo veiksmų efektyvumu? Tokiu atveju galite išbandyti kitos kalbų mokymosi programos.
Apsaugokite savo duomenis ir sustiprinkite apsaugą
Duomenų pažeidimai tampa vis dažnesni, o pavogtos detalės gali būti naudojamos įvairiems tikslams – nuo rinkodaros iki kibernetinių atakų, įskaitant bandymus sukčiauti. Šiuo metu kenkėjiški veikėjai turi prieigą prie daugelio „Duolingo“ naudotojų informacijos, įskaitant tikrus vardus ir el. pašto adresus.
Norėdami pašalinti duomenų pažeidimus, naudotojai turėtų imtis aktyvių veiksmų, įskaitant mokymąsi atpažinti galimus pažeidimus ir apsimetinėjimo bandymus bei kovoti su sukčiavimo atakomis.