Har du fått ett mejl från Duolingo? Det kan vara en bluff – särskilt eftersom privata data har läckt ut till hackare. Ça allors!
E-postmeddelanden från Duolingo-ugglan brukar vara ett irritationsmoment i värsta fall. Men cyberbrottslingar har nu händerna på din e-postadress och Duolingo-data, så de kan skicka dig mycket riktade e-postmeddelanden för att locka dig till nätfiskefällor.
Här är anledningen till att du inte längre kan lita på e-postmeddelanden från Duolingo.
Hur fick angripare din information från Duolingo?
Tro det eller ej, men de flesta av dina Duolingo-data är tillgängliga för alla med ett övergående intresse och lite tid på sina händer. Du kan se grundläggande profildata som användarnamn, profilbilder och språk som studeras genom att besöka https://www.duolingo.com/profile/[username]-de Användarnamn är profilen för den du är intresserad av.
Om du har ett par timmar att döda kan du undersöka några dussin profiler, kontrollera om användarnamnen används någon annanstans eller till och med kör en omvänd bildsökning på profilbilden och se var den annars finns på internet.
Det är ett roligt sätt att fördriva tiden, men ineffektivt om ditt mål är att samla in enorma mängder data, och det är ganska enkelt att bygga en applikation som skrapar data från webbplatser åt dig.
Använda en plattforms egen Application Programming Interface (API), är det ännu lättare att samla in enorma mängder offentlig data från plattformar som Facebook, Twitter, LinkedIn eller Duolingo.
I januari 2023, Skivan rapporterade att hackarna hade använt Duolingos API för att skrapa offentliga data från 2,6 miljoner användare och hade lagt ut data till försäljning på det nu nedlagda breached.to-forumet.
Medan Duolingo erkände att uppgifterna var giltiga, insisterade företaget på att det var allmänt tillgänglig profildata och att inget hack eller dataintrång hade inträffat.
Den 22 augusti 2023 avslöjade marknadsplatsen VX-Underground för skadlig programvara på X (plattformen tidigare känd som Twitter) att detta skrapade data även innehöll användarnas e-postadresser och att den kunde och hade använts för att få ytterligare information inklusive namn och telefon siffra.
Hur kan Duolingo-data användas mot dig?
E-postmeddelanden från Duolingo är så vanliga att de har blivit ett stammeme. Om du missar en dags esperantoträning kommer Duolingos ugglamaskot, Duo, att dyka upp i din inkorg för att berätta att han är ledsen.
Vagt hotfulla e-postmeddelanden dyker upp strax efter, tillsammans med e-postmeddelanden som säger att din rad har frysts, sedan bruten, och att du halkar ner på topplistorna, sedan uppmaningar att ta en tre minuter lång lektion.
Varje e-postmeddelande kommer att innehålla information om dina senaste språkinlärningsaktiviteter och tillhandahålla en praktisk länk för att logga in på webbplatsen.
Nu är ditt namn, Duolingo-information och aktivitet i händerna på potentiella brottslingar, det är obetydligt enkelt att automatiskt skapa nätfiske-e-postmeddelanden som kommer att övertala dig att klicka på länken.
Vi anser att det är troligt att länken kommer att be dig att logga in – och förse angripare med ditt lösenord också.
Bedrägerimeddelanden kan verka ännu mer autentiska om angripare utnyttjar de många tillgängliga Duolingo-domänerna. Skulle du lita på ett e-postmeddelande från duolingo.live, duolingo.tech, duolingo.world eller duolingo.life? Alla är för närvarande tillgängliga för under $10, medan den lite mer övertygande duolingo.club kan fås för den jämförelsevis branta prislappen på runt $600 (i skrivande stund).
Med din e-postadress och ditt lösenord kan brottslingar börja attackera dina andra onlinekonton.
Hur du skyddar dig från Duolingo Phishing-bedrägerier
Om du är orolig för att dina data kan inkluderas i datauppsättningen på 2,6 miljoner ingångar, är det första du bör göra att gå till haibeenpwned, och ange din e-postadress. Om det finns där kommer du att se de intrång där din data har avslöjats.
Därefter bör du avsluta prenumerationen på alla Duolingo-e-postmeddelanden. De är irriterande ändå, och om någon kommer in i din inkorg vet du att de kommer från bedragare. Gör detta med hjälp av ett historiskt, sanningsenligt meddelande från tjänsten, som även knappar för att avbryta prenumeration kan vara bedrägerier!
Det är alltid en bra idé att skapa ett separat lösenord för varje tjänst du använder. På det här sättet, om ditt lösenord äventyras i ett dataintrång, eller om du av misstag avslöjar det i en nätfiskeattack, kan det inte användas på något av dina andra konton.
Om du kan, använd en unik e-postadress för varje webbplats eller app också. Det är lätt att dölja din e-postadress, och kommer att förhindra att det skickas runt för användning i andra bedrägerier eller spamkampanjer. Vi rekommenderar enkel catch-all vidarebefordran av e-post för detta.
Duolingo är inte det enda sättet att lära sig ett nytt språk
Om du är missnöjd med hur Duolingo gjorde din offentliga och privata data tillgänglig via sitt eget API, eller kanske du är frustrerad över dess didaktiska taktik och pedagogiska pedanteri, du kanske överväger att överge Duo för Bra.
Att lämna Duolingo betyder inte att du måste ge upp dina studier, och det finns massor av fantastiska sajter som kan hjälpa till att göra det lättare att lära sig språk online.
