Har du fået en e-mail fra Duolingo? Det kan være et fupnummer - især da private data er blevet lækket til hackere. Ça alors!
E-mails fra Duolingo-uglen er normalt en irritation i værste fald. Men cyberkriminelle har nu hænderne på din e-mailadresse og Duolingo-data, så de kan sende dig meget målrettede e-mails for at lokke dig i phishing-fælder.
Her er grunden til, at du ikke længere kan stole på e-mails fra Duolingo.
Hvordan fik angribere dine oplysninger fra Duolingo?
Tro det eller ej, de fleste af dine Duolingo-data er tilgængelige for alle med en forbigående interesse og noget tid på deres hænder. Du kan se grundlæggende profildata såsom brugernavn, profilbilleder og sprog, der studeres ved at besøge https://www.duolingo.com/profile/[username]-det brugernavn er profilen på den, du er interesseret i.
Hvis du har et par timer til at dræbe, kan du undersøge et par dusin profiler, tjekke om brugernavnene bruges andre steder eller endda køre en omvendt billedsøgning på profilbilledet og se, hvor det ellers vises på internettet.
Det er en sjov måde at fordrive tiden på, men ineffektiv, hvis dit mål er at indsamle enorme mængder data, og det er ret nemt at bygge en applikation, der skraber data fra websteder for dig.
Brug af en platforms egen Application Programming Interface (API), er det endnu nemmere at indsamle enorme mængder offentlige data fra platforme som Facebook, Twitter, LinkedIn eller Duolingo.
I januar 2023, Grammofonpladen rapporterede, at hackerne havde brugt Duolingo's API til at skrabe de offentlige data fra 2,6 millioner brugere, og havde lagt dataene ud til salg på det nu hedengangne breached.to-forum.
Mens Duolingo erkendte, at dataene var gyldige, insisterede virksomheden på, at det var offentligt tilgængelige profildata, og at der ikke var sket noget hack eller databrud.
Den 22. august 2023 afslørede malware-markedspladsen VX-Underground på X (platformen tidligere kendt som Twitter), at dette skrabet data også indeholdt brugere-mailadresser, og at det kunne og var blevet brugt til at indhente yderligere oplysninger, herunder navn og telefon nummer.
Hvordan kan Duolingo-dataene bruges mod dig?
E-mails fra Duolingo er så almindelige, at de er blevet et fast meme. Hvis du går glip af en dags esperanto-træning, vil Duolingos uglemaskot, Duo, dukke op i din indbakke for at fortælle dig, at han er ked af det.
Svagt truende e-mails vises kort efter sammen med e-mails, der fortæller dig, at din streak er blevet frosset, derefter gået i stykker, og at du glider ned ad ranglisterne, derefter opfordringer til at tage tre minutter lektie.
Hver e-mail vil indeholde oplysninger om dine seneste sprogindlæringsaktiviteter og give et praktisk link, så du kan logge ind på siden.
Nu er dit navn, Duolingo-oplysninger og din aktivitet i hænderne på potentielle kriminelle, det er trivielt nemt automatisk at lave phishing-e-mails, der vil overtale dig til at klikke på linket.
Vi anser det for sandsynligt, at linket vil bede dig om at logge ind - også forsyne hackere med din adgangskode.
Svindel-e-mails kan fremstå endnu mere autentiske, hvis angribere drager fordel af de mange tilgængelige Duolingo-domæner. Ville du stole på en e-mail fra duolingo.live, duolingo.tech, duolingo.world eller duolingo.life? Alle er i øjeblikket tilgængelige for under $10, mens den lidt mere overbevisende duolingo.club kan fås til den forholdsvis stejle pris på omkring $600 (i skrivende stund).
Med din e-mailadresse og adgangskode kan kriminelle begynde at angribe dine andre onlinekonti.
Sådan beskytter du dig selv mod Duolingo Phishing-svindel
Hvis du er bekymret for, at dine data kan blive inkluderet i datasættet på 2,6 millioner indgange, er den første ting, du skal gøre, gå over til haveibeenpwned, og indtast din e-mailadresse. Hvis det er der, vil du se de brud, hvor dine data blev afsløret.
Dernæst skal du afmelde alle Duolingo-e-mails. De er alligevel irriterende, og hvis nogen kommer ind i din indbakke, vil du vide, at de er fra svindlere. Gør dette dog ved at bruge en historisk, sandfærdig besked fra tjenesten, som selv afmeld knapper kan være svindel!
Det er altid en god idé at oprette en separat adgangskode for hver tjeneste, du bruger. På denne måde, hvis din adgangskode er kompromitteret i et databrud, eller du ved et uheld afslører den i et phishing-angreb, kan den ikke bruges på nogen af dine andre konti.
Hvis du kan, skal du også bruge en unik e-mailadresse til hver hjemmeside eller app. Det er nemt at skjule din e-mailadresse, og vil forhindre det i at blive sendt rundt til brug i andre svindel- eller spamkampagner. Vi vil anbefale simpelt catch-all e-mail videresendelse for det.
Duolingo er ikke den eneste måde at lære et nyt sprog på
Hvis du er utilfreds med den måde, Duolingo gjorde dine offentlige og private data tilgængelige via sin egen API, eller måske du er frustreret over dens didaktiske taktik og pædagogiske pedanteri, overvejer du måske at opgive Duo for godt.
At forlade Duolingo betyder ikke, at du skal opgive dine studier, og der er masser af fantastiske sider, der kan hjælpe med at lette byrden af at lære sprog online.
