E-poster fra Duolingo-uglen, som vanligvis bare er en liten plage, har nå blitt et potensielt sikkerhetsproblem. Cyberkriminelle har nemlig fått tilgang til e-postadressene dine og Duolingo-data. Dette gjør at de kan sende svært målrettede e-poster, med hensikt å lure deg inn i phishing-feller.
Dette er grunnen til at du nå må være forsiktig med e-poster som ser ut til å komme fra Duolingo.
Hvordan fikk angriperne tak i informasjonen din fra Duolingo?
Overraskende nok er mye av Duolingo-informasjonen din lett tilgjengelig for hvem som helst som er litt nysgjerrig og har litt tid til overs. Du kan se grunnleggende profildata som brukernavn, profilbilder og hvilke språk som studeres, ved å besøke https://www.duolingo.com/profile/[brukernavn]. Erstatt [brukernavn] med profilen du vil se.
Hvis du har noen timer til overs, kan du undersøke mange profiler, sjekke om brukernavnene brukes andre steder, eller til og med gjøre et omvendt bildesøk på profilbildene for å se hvor de ellers vises på nettet.
Dette kan være en morsom måte å bruke tiden på, men det er lite effektivt hvis målet ditt er å samle store mengder data. Det er også ganske enkelt å utvikle en applikasjon som automatisk skraper data fra nettsider for deg.
Ved å benytte seg av en plattforms eget Application Programming Interface (API), blir det enda enklere å samle store mengder offentlig tilgjengelig informasjon fra plattformer som Facebook, Twitter, LinkedIn eller Duolingo.
I januar 2023 rapporterte The Record at hackere hadde brukt Duolingos API til å skrape offentlige data fra 2,6 millioner brukere. Disse dataene ble deretter lagt ut for salg på det nå nedlagte breached.to-forumet.
Duolingo bekreftet at dataene var ekte, men insisterte på at det var offentlig tilgjengelig profilinformasjon og at det ikke hadde skjedd noe hacking eller datainnbrudd.
Den 22. august 2023 avslørte skadevaremarkedsplassen VX-Underground på X (tidligere kjent som Twitter) at disse skrapte dataene også inneholdt e-postadresser, og at de kunne og hadde blitt brukt til å innhente ytterligere informasjon som navn og telefonnummer.
Hvordan kan Duolingo-dataene brukes mot deg?
E-poster fra Duolingo er så vanlige at de nesten har blitt et internett-meme. Hvis du går glipp av en dag med esperanto-øvelse, dukker Duolingos ugle-maskot, Duo, opp i innboksen din for å fortelle deg at han er trist.
Litt truende e-poster dukker også opp, sammen med e-poster som informerer deg om at rekken din er frosset, så brutt, og at du faller nedover topplistene, i tillegg til oppfordringer om å ta en tre-minutters leksjon.
Hver e-post inneholder informasjon om dine nylige språklæringsaktiviteter, og en praktisk lenke for å logge inn på nettsiden.
Nå som navnet ditt, Duolingo-informasjonen og aktivitetene dine er i hendene på potensielle kriminelle, er det svært enkelt å automatisk generere phishing-e-poster som vil lure deg til å klikke på lenken.
Vi mener det er sannsynlig at lenken vil be deg om å logge inn – og dermed gi passordet ditt til angriperne.
Svindel-e-poster kan se enda mer ekte ut hvis angripere utnytter de mange tilgjengelige Duolingo-domenene. Ville du stolt på en e-post fra duolingo.live, duolingo.tech, duolingo.world eller duolingo.life? Alle disse er for tiden tilgjengelige for under $10, mens det litt mer overbevisende domenet duolingo.club kan kjøpes for den relativt høye prisen på rundt $600 (per skrivende stund).
Med e-postadressen og passordet ditt, kan kriminelle begynne å angripe de andre nettkontoene dine.
Slik beskytter du deg mot Duolingo-phishing-svindel
Hvis du er bekymret for at dataene dine kan være en del av datasettet med 2,6 millioner oppføringer, er det første du bør gjøre å gå til haveibeenpwned, og skrive inn e-postadressen din. Hvis den er der, vil du se hvilke datainnbrudd dataene dine ble avslørt i.
Deretter bør du melde deg av alle e-poster fra Duolingo. De er irriterende uansett, og hvis en e-post dukker opp i innboksen din, kan du være sikker på at den kommer fra svindlere. Gjør dette ved å bruke en eldre, bekreftet melding fra tjenesten, da selv avmeldingsknapper kan være svindel!
Det er alltid lurt å bruke et unikt passord for hver tjeneste du bruker. På denne måten, hvis passordet ditt blir kompromittert i et datainnbrudd, eller du ved et uhell avslører det i et phishing-angrep, kan det ikke brukes på noen av de andre kontoene dine.
Hvis det er mulig, bruk en unik e-postadresse for hver nettside eller app. Det er enkelt å skjule e-postadressen din, og det vil forhindre at den blir spredt og brukt i andre svindel- eller spamkampanjer. Vi anbefaler å bruke enkel e-postvideresending for dette.
Duolingo er ikke den eneste måten å lære et nytt språk på
Hvis du er misfornøyd med måten Duolingo har gjort dine offentlige og private data tilgjengelige gjennom sitt API, eller kanskje du er frustrert over deres undervisningsmetoder, kan det være at du vurderer å forlate Duo for godt.
Å slutte med Duolingo betyr ikke at du må avslutte studiene dine. Det finnes mange gode nettsider som kan hjelpe deg med å lære språk på nettet.