Poruke elektronske pošte koje stižu od Duolingo sove često su, u najboljem slučaju, smetnja. Međutim, sajber kriminalci sada imaju pristup vašoj adresi e-pošte i drugim podacima sa Duolinga, što im omogućava da šalju ciljane poruke u nameri da vas uvuku u zamke za krađu identiteta.
U nastavku je objašnjeno zašto više ne treba slepo verovati elektronskim porukama koje navodno dolaze sa Duolinga.
Kako su napadači došli do vaših informacija sa Duolinga?
Verovali ili ne, većina vaših Duolingo podataka dostupna je svima sa malo vremena i interesovanja. Osnovni podaci profila, poput korisničkog imena, profilnih fotografija i jezika koje učite, mogu se videti jednostavnom posetom adresi https://www.duolingo.com/profile/[korisničko_ime] – gde se umesto [korisničko_ime] unosi profil osobe koju želite da pogledate.
Ako imate nekoliko sati slobodnog vremena, možete istražiti desetine profila, proveriti da li se korisnička imena koriste i na drugim platformama ili čak pretražiti profilne slike obrnutom pretragom i videti gde se još pojavljuju na internetu.
Ovo može biti zabavan način da se ubije vreme, ali nije efikasan ako je cilj prikupiti velike količine podataka. Zato je mnogo jednostavnije napraviti aplikaciju koja automatski preuzima podatke sa veb sajtova.
Korišćenjem API-ja (Application Programming Interface) same platforme, još je lakše prikupiti ogromne količine javnih podataka sa platformi poput Facebooka, Twittera, LinkedIna ili Duolinga.
U januaru 2023. godine, TheRecord je objavio da su hakeri iskoristili Duolingov API da prikupe javne podatke 2,6 miliona korisnika i da su te informacije ponudili na prodaju na jednom sada nepostojećem forumu.
Iako je Duolingo priznao da su podaci validni, kompanija je insistirala da su to javno dostupni podaci profila i da nije došlo do hakovanja ili povrede bezbednosti podataka.
Dana 22. avgusta 2023, platforma za analizu zlonamernog softvera VX-Underground otkrila je na X-u (nekadašnjem Twitteru) da ovi prikupljeni podaci sadrže i adrese e-pošte korisnika i da su se mogli koristiti, i koristili su se, za dobijanje dodatnih informacija, uključujući ime i broj telefona.
Kako se podaci sa Duolinga mogu upotrebiti protiv vas?
Elektronske poruke od Duolinga su toliko česte da su postale pravi mem. Ako propustite jedan dan vežbanja esperanta, Duolingova maskota sova, Duo, pojaviće se u vašem inboksu da vam saopšti kako je tužan.
Ubrzo potom stižu pomalo preteće poruke e-pošte, uz poruke koje vas obaveštavaju da je vaš niz zamrznut, pa prekinut i da padate na rang-listi, a onda stižu i saveti da odvojite tri minuta za lekciju.
Svaka od tih poruka sadrži informacije o vašim nedavnim aktivnostima učenja jezika i nudi zgodan link za prijavljivanje na sajt.
Sada, kada su vaše ime, informacije o Duolingu i vaše aktivnosti dostupne potencijalnim kriminalcima, postaje banalno lako kreirati lažne e-poruke koje će vas uveriti da kliknete na link.
Verovatno je da će link od vas zahtevati da se prijavite – čime napadačima dajete i vašu lozinku.
Lažne poruke mogu delovati još uverljivije ako napadači iskoriste mnoge dostupne Duolingo domene. Da li biste verovali poruci sa domena duolingo.live, duolingo.tech, duolingo.world ili duolingo.life? Sve ove adrese su trenutno dostupne za manje od 10 dolara, dok se nešto uverljiviji domen duolingo.club može kupiti po relativno visokoj ceni od oko 600 dolara (u vreme pisanja ovog teksta).
Sa vašom adresom e-pošte i lozinkom, kriminalci mogu početi da napadaju vaše druge naloge na mreži.
Kako se zaštititi od Duolingo prevara putem lažnih e-poruka?
Ako ste zabrinuti da bi vaši podaci mogli biti deo seta od 2,6 miliona unosa, prva stvar koju treba da uradite je da posetite sajt haveibeenpwned i unesete svoju adresu e-pošte. Ako je vaša adresa tamo, videćete podatke o svim povredama bezbednosti u kojima su vaši podaci bili izloženi.
Zatim, trebalo bi da otkažete pretplatu na sve Duolingo e-poruke. One su ionako dosadne, a ako neka stigne u vaš inboks, znaćete da je od prevaranta. Uradite to koristeći staru, originalnu poruku servisa, jer čak i dugmad za odjavu mogu biti prevare!
Uvek je dobra ideja da kreirate zasebnu lozinku za svaki servis koji koristite. Na taj način, ako vaša lozinka bude kompromitovana u proboju podataka ili je slučajno otkrijete tokom lažnog napada, ona se ne može koristiti ni na jednom drugom vašem nalogu.
Ako je moguće, koristite i jedinstvenu adresu e-pošte za svaki veb sajt ili aplikaciju. Lako je sakriti vašu pravu adresu e-pošte i tako je sprečiti da bude prosleđena za upotrebu u drugim prevarama ili kampanjama neželjene pošte. Za ovo preporučujemo jednostavno prosleđivanje e-pošte.
Duolingo nije jedini način da naučite novi jezik
Ako niste zadovoljni načinom na koji je Duolingo učinio vaše javne i privatne podatke dostupnim preko sopstvenog API-ja, ili ste možda frustrirani njihovim didaktičkim pristupom i pedantnošću, možda razmišljate o tome da napustite Duolingo zauvek.
Napuštanje Duolinga ne znači da morate da odustanete od učenja, a postoji mnogo odličnih sajtova koji vam mogu olakšati učenje jezika na mreži.