Bekymringsfullt datainnbrudd hos Duolingo
Duolingo, en globalt anerkjent app for språkopplæring med millioner av aktive brukere hver måned, opplevde et alvorlig datainnbrudd i begynnelsen av 2023. Dette kompromitterte personopplysninger for over 2,5 millioner brukere.
Innbruddet resulterte i lekkasje av både offentlig og privat brukerinformasjon, inkludert fullt navn, e-postadresser, telefonnumre samt påmeldte kurs. Her er en oversikt over det som har skjedd.
Hva skjedde under datainnbruddet hos Duolingo?
Offentligheten ble informert om hendelsen i januar 2023, da data fra 2,6 millioner brukerkonti ble lagt ut for salg på et forum for hackere for 1500 dollar.
Det opprinnelige forumet er nå stengt, men sikkerhetsforskere fra VX-Underground oppdaget at den samme dataen ble solgt på en ny versjon av forumet for en sum tilsvarende rundt 2,13 dollar.
Hackeren hevder å ha skrapet dataene fra en sårbar API. De delte også en prøve av 1000 kontoer som bevis. Det antas at hackeren har matet e-postadresser fra tidligere datainnbrudd inn i API-et for å sjekke om de var knyttet til aktive Duolingo-kontoer. Dette førte til opprettelsen av et datasett med både offentlige og ikke-offentlige data.
En talsperson for Duolingo hevder at dataene ble samlet inn fra offentlig profilinformasjon. Dette er vanskelig å akseptere fullt ut, siden de skrapte dataene inkluderte brukernes fulle navn, offentlige innloggingsdetaljer, fremdrift i språklæring samt e-postadresser, som vanligvis regnes som privat informasjon.
Hvem ble rammet av Duolingo-hacket?
En undersøkelse fra Surfshark viser at USA ble hardest rammet, med nesten 1 million berørte kontoer. Sør-Sudan kom på andreplass med 175 000 berørte kontoer, etterfulgt av Spania (123 000), Frankrike (105 000) og Storbritannia (98 000).
Hver kompromittert e-postkonto hadde omtrent fem punkter med lekkede data, som inkluderte navn, brukernavn, profilbilde, språk og land. I enkelte tilfeller ble alle brukerdetaljer avslørt.
Hva skjer videre med de skrapte dataene?
Datameglere samler ofte inn skrapte data fra sosiale medier og selger dem videre til tredjeparter for diverse formål, inkludert markedsføring. Kriminelle kan derimot misbruke de lekkede dataene fra Duolingo-brukere for å utføre sofistikerte angrep, som målrettede phishing-kampanjer, ved å bruke ofrenes fulle navn og gyldige e-postadresser.
De berørte kan motta spesialtilpassede phishing-e-poster – som rabatterte språkkurs – på grunn av lekkede navn, informasjon om fremgang i språkkurs og hjemland. Disse e-postene kan også inkludere invitasjoner til reiser til land hvor språket man lærer blir snakket.
Kriminelle kan også utgi seg for å være Duolingo og sende e-poster med lenker som ser ut til å lede til betalingsversjonen av Duolingo eller et premiumkurs. Hvis du klikker på disse lenkene og oppgir betalingsinformasjonen din, kan angripere stjele dine opplysninger.
Hvordan håndtere datainnbruddet hos Duolingo
Dataskraping fra nettsider og applikasjoner er et kjent problem som rammer mange store teknologiselskaper. For eksempel ble data fra rundt 500 millioner LinkedIn-brukere skrapet i april 2021.
Hvis du mistenker at dine data ble lekket i forbindelse med datainnbruddet, er det noen skritt du kan ta for å håndtere situasjonen. Et av de viktigste er å sjekke om din informasjon ble kompromittert ved å besøke nettsiden HaveIBeenPwned. Denne tjenesten hevder å ha alle de lekkede Duolingo-dataene i sin database.
For å unngå å bli offer for phishing, bør du undersøke e-poster nøye, spesielt de som haster. Dobbeltsjekk avsenderadresser, ikke klikk på tvilsomme lenker eller vedlegg, og vurder å installere antivirusprogramvare for bedre beskyttelse mot skadelig programvare i phishing-e-poster.
Vær oppmerksom på personangrep, og del aldri sensitive opplysninger som brukernavn og passord via e-post, da Duolingo aldri vil be om slik informasjon gjennom e-post. Følg også Duolingos råd, endre passordet ditt og vurder å aktivere tofaktorautentisering.
Dersom du er usikker på de sikkerhetstiltakene Duolingo har implementert for å beskytte brukernes data, eller om du tviler på effekten av dine egne handlinger, kan du vurdere å bruke alternative språkopplæringsapper.
Beskytt dine data og styrk ditt forsvar
Datainnbrudd er blitt en stadig mer vanlig foreteelse, og de stjålne opplysningene kan brukes til mange formål, fra markedsføring til nettangrep som phishing. Ondsinnede aktører har nå tilgang til mange Duolingo-brukeres data, som inkluderer deres fullt navn og e-postadresser.
For å håndtere datainnbrudd er det viktig for brukerne å ta et proaktivt standpunkt, dette innebærer å lære seg å gjenkjenne potensielle datainnbrudd og imitasjonsforsøk, samt å bekjempe phishing-angrep.