Duolingo, en globalt erkänd plattform för språkinlärning med en ansenlig mängd månatliga användare, hamnade i blåsväder under tidiga 2023. En säkerhetsincident resulterade i att information om över 2,5 miljoner användare exponerades.
Denna incident involverade spridning av både offentlig och privat användardata, inklusive fullständiga namn, e-postadresser, telefonnummer och detaljer om anmälda språkkurser. Följande information ger en djupare förståelse för situationen.
Dataintrånget hos Duolingo: Händelseförloppet
Nyheten om händelsen spreds i januari 2023 när en databas med information om 2,6 miljoner kundkonton dök upp till försäljning på ett forum för hackare, med ett pris på 1500 dollar.
Även om det ursprungliga forumet har stängts ner, har säkerhetsexperter från VX-Underground upptäckt att datan nu säljs på en ny plattform för cirka 2,13 dollar, eller åtta webbplatskrediter.
Den påstådda hackaren hävdar att informationen har skrapats från ett oskyddat API och har som bevis delat ett utdrag av 1 000 konton. Det antas att angriparen använt tidigare läckta e-postadresser för att undersöka om de var kopplade till aktiva Duolingo-konton, vilket ledde till insamling av både offentliga och privata data.
En talesperson för Duolingo har förklarat att informationen som kommit ut härrör från offentlig profilinformation. Detta påstående ifrågasätts dock med tanke på att den läckta informationen även inkluderar användarnas riktiga namn, offentliga inloggningar, språkinlärningsframsteg och e-postadresser, vilka oftast inte anses vara offentliga.
Vilka drabbades av dataintrånget hos Duolingo?
Enligt en studie utförd av Surfshark, var USA det land som drabbades hårdast, med nästan 1 miljon exponerade konton. Sydsudan kom på andra plats med 175 000 drabbade konton, följt av Spanien (123 000), Frankrike (105 000) och Storbritannien (98 000).
Varje komprometterat e-postkonto involverade ungefär fem läckta datapunkter, inklusive namn, användarnamn, profilbild, språk och land. I vissa fall exponerades hela användarens profil.
Vad är nästa steg för den insamlade datan?
Datamäklare samlar ofta in och säljer data som skrapats från sociala medier för olika syften, inklusive marknadsföring. Kriminella kan använda läckt data från Duolingo-användare för sociala ingenjörsattacker, som nätfiske, genom att utnyttja offrets fullständiga namn och giltiga e-postadresser.
Drabbade användare kan få skräddarsydda nätfiske-e-postmeddelanden, med erbjudanden om rabatterade språkkurser, baserat på läckta uppgifter om namn, språkinlärningsframsteg och hemland. Dessa meddelanden kan också innehålla inbjudningar till resor till länder där språket som studeras talas.
Cyberkriminella kan även försöka utge sig för att vara Duolingo och skicka e-postmeddelanden med länkar till vad som ser ut att vara betalversionen av Duolingo eller premiumkurser. Om man klickar på dessa länkar och anger betalningsinformation riskerar man att få sin information stulen.
Hur man hanterar dataintrånget hos Duolingo
Dataskrapning från webbplatser och applikationer är ett etablerat problem som berör många stora teknikföretag. Som ett exempel kan nämnas att ungefär 500 miljoner LinkedIn-användares data skrapades i april 2021.
Om du misstänker att dina uppgifter har läckt i samband med dataintrånget finns det åtgärder att ta till. Ett första steg är att kontrollera om din information har äventyrats genom att besöka webbplatsen HaveIBeenPwned. Denna databas hävdar att all komprometterad Duolingo-data redan finns registrerad där.
För att skydda dig mot nätfiske bör du noggrant granska e-postmeddelanden, särskilt de med brådskande karaktär. Verifiera avsändarens adress, undvik att klicka på misstänkta länkar och bilagor, och överväg att installera ett antivirusprogram för ett förstärkt skydd mot skadlig kod i nätfiskemejl.
Var uppmärksam på risken för identitetsbedrägeri och dela aldrig känslig information som användarnamn och lösenord via e-post, eftersom Duolingo inte efterfrågar sådan information via den kanalen. Följ även rekommendationer om att byta lösenord och aktivera tvåfaktorsautentisering.
Om du känner osäkerhet kring de säkerhetsåtgärder som Duolingo har vidtagit för att skydda användardata, eller om du är tveksam till dina egna åtgärders effektivitet, kan det vara värt att överväga alternativa språkinlärningsplattformar.
Skydda din information och stärk ditt försvar
Dataintrång har blivit allt vanligare, och den stulna informationen kan utnyttjas i olika syften, från marknadsföring till cyberattacker, inklusive försök till nätfiske. I nuläget har obehöriga aktörer tillgång till information om många Duolingo-användare, inklusive fullständiga namn och e-postadresser.
För att hantera risken med dataintrång bör användare ta ett proaktivt förhållningssätt, vilket innefattar att lära sig känna igen potentiella intrång och bedrägeriförsök, samt att skydda sig mot nätfiskeattacker.