Se upp för falska e-postmeddelanden från Duolingo
De e-postmeddelanden som skickas av Duolingos maskot, ugglan, kan vara irriterande i bästa fall. Nu när cyberkriminella har fått tillgång till din e-postadress och Duolingo-data, kan de skicka riktade e-postmeddelanden i syfte att lura dig in i nätfiske. Därför bör du vara extra försiktig med e-postmeddelanden som utger sig för att vara från Duolingo.
Nedan förklarar vi varför du inte längre bör lita blint på e-post som påstås vara från Duolingo.
Hur angriparna kom åt din information från Duolingo
Det kan låta otroligt, men mycket av din information på Duolingo är offentligt tillgänglig för alla som är lite nyfikna. Genom att besöka https://www.duolingo.com/profile/[användarnamn] (där [användarnamn] ersätts med den aktuella personens användarnamn), kan du se grundläggande profilinformation som användarnamn, profilbilder och vilka språk personen studerar.
Om du har några timmar över kan du granska ett stort antal profiler och kontrollera om användarnamnen används någon annanstans. Du kan också använda omvänd bildsökning på profilbilderna för att se var de förekommer på nätet.
Det kan vara ett underhållande sätt att fördriva tiden, men inte så effektivt om du vill samla in stora mängder data. Lyckligtvis är det ganska enkelt att bygga en applikation som automatiskt samlar in data från webbsidor.
Genom att använda plattformens egna API (Application Programming Interface) blir det ännu enklare att skrapa stora mängder offentlig data från plattformar som Facebook, Twitter, LinkedIn och Duolingo.
I januari 2023 rapporterade The Record att hackare hade använt Duolingos API för att skrapa offentliga data från 2,6 miljoner användare. Denna data hade sedan lagts ut till försäljning på det nu nedlagda forumet breached.to.
Duolingo erkände att datan var äkta, men hävdade att det handlade om allmänt tillgänglig profilinformation och att ingen hackning eller dataintrång hade skett.
Den 22 augusti 2023 avslöjade marknadsplatsen VX-Underground för skadlig programvara på X (tidigare känt som Twitter) att den skrapade datan även innehöll användarnas e-postadresser. Denna information kunde och hade använts för att få tag på ytterligare information, inklusive namn och telefonnummer.
Hur kan Duolingo-datan användas mot dig?
E-postmeddelanden från Duolingo är så vanliga att de nästan blivit ett skämt. Om du missar en dags övning i esperanto, dyker Duos uggla upp i din inkorg och påminner dig om det.
Kort därefter följer vaga hotfulla e-postmeddelanden om att din ”streak” är fryst eller bruten, att du rasar ner på topplistorna, samt uppmaningar att göra en snabb lektion på tre minuter.
Varje e-postmeddelande innehåller information om din senaste språkinlärningsaktivitet, och en praktisk länk för att logga in på webbplatsen.
Eftersom ditt namn, Duolingo-information och aktivitetsdata nu är tillgängliga för potentiella brottslingar, är det lätt att automatiskt skapa nätfiske-e-postmeddelanden som kommer att lura dig att klicka på länkarna.
Det är troligt att länken kommer att leda till en sida där du ombeds att logga in och därmed ge angriparna tillgång till ditt lösenord.
Bedrägerimeddelanden kan se ännu mer äkta ut om angriparna använder de många Duolingo-domäner som finns tillgängliga. Skulle du lita på ett e-postmeddelande från duolingo.live, duolingo.tech, duolingo.world eller duolingo.life? De är alla tillgängliga för mindre än 10 dollar. Den något mer övertygande domänen duolingo.club kostar däremot en aning mer, runt 600 dollar (vid tidpunkten för denna artikel).
Med tillgång till din e-postadress och ditt lösenord kan kriminella börja attackera även dina andra onlinekonton.
Hur du skyddar dig mot nätfiske från Duolingo
Om du är orolig att dina uppgifter kan finnas i den data som läcktes, med 2,6 miljoner poster, bör du först gå till haveibeenpwned och ange din e-postadress. Om din information finns med i läckan, får du information om vilka intrång den har avslöjats i.
Därefter bör du avregistrera dig från alla Duolingo-mejl. De är ändå ganska irriterande och om du får e-post från dem, kan du utgå ifrån att det är ett bedrägeri. Gör detta med ett e-postmeddelande från Duolingo direkt via deras webbplats eftersom även knappar för att avsluta prenumerationen kan vara en del av bedrägeriet!
Det är alltid en bra idé att skapa ett unikt lösenord för varje tjänst du använder. På så sätt, om ditt lösenord läcks i en dataöverträdelse eller om du råkar avslöja det i ett nätfiskeangrepp, kan det inte användas för att komma åt dina andra konton.
Om du kan, använd även en unik e-postadress för varje webbplats eller app. Det är enkelt att dölja din e-postadress och det förhindrar att den sprids för att användas i andra bedrägerier eller skräppostkampanjer. Vi rekommenderar enkel vidarebefordran av e-post för detta.
Duolingo är inte det enda sättet att lära sig ett nytt språk
Om du är missnöjd med hur Duolingo gjorde din offentliga och privata information tillgänglig via deras API, eller om du är frustrerad över deras undervisningsmetoder, kanske du funderar på att lämna Duo helt och hållet.
Att lämna Duolingo innebär inte att du måste sluta lära dig språk. Det finns massor av andra utmärkta webbplatser som kan göra språkinlärningen enklare online.