Vdor storitev DuoLingo: 2,6 milijona prizadetih, tveganja ostajajo
Znanje tujega jezika je velik izziv. Zaradi te realnosti je Duolingo postal uspešen. Platforma se ponaša z več kot 74 milijoni mesečnih uporabnikov po vsem svetu. Žal je del tega prebivalstva ogrožen. Natančneje, 2,6 milijona naročnikov Duolinga se sooča z usmerjenimi napadi ribarjenja. Razlog za to je nepooblaščeno razkritje njihovih zasebnih podatkov na spletu.
Po podatkih BleepingComputerja je oseba z zlonamernimi nameni januarja na nekem forumu ponudila v prodajo podatke 2,6 milijona uporabnikov Duolinga. Cena za te podatke je bila določena na 1.500 ameriških dolarjev. Poleg splošno dostopnih uporabniških imen in pravnih nazivov so zbrani podatki vsebovali tudi zaupne podatke, kot so naslovi elektronske pošte in zaupna notranja dokumentacija podjetja Duolingo.
Praksa pridobivanja podatkov s spletnih strani družabnih omrežij in drugih spletnih zbirk še zdaleč ni nekaj povsem novega. Subjekti zunaj kriminalne sfere, vključno s komercialnimi podjetji, kot so posredniki podatkov, pogosto pridobivajo takšne informacije, da bi olajšali svoje trženjske pobude. Sedanja situacija izstopa zaradi načina zaščite e-poštnih naslovov Duolingovih naročnikov. To je bilo storjeno z izkoriščanjem ranljivega vmesnika API, kar je postopek, ki je običajno skrit javnosti.
Podjetje Duolingo je priznalo nepooblaščeno pridobivanje podatkov iz javnih profilov na svoji platformi. Ocenjuje dodatne varnostne ukrepe. Vendar pa organizacija ni javno potrdila ali komentirala vključitve e-poštnih naslovov uporabnikov v nabor podatkov, do katerih je bil pridobljen neustrezen dostop.
Obskurna internetna platforma za podatke o uporabnikih Duolinga je zdaj neaktivna. Vendar so zbrani podatki na posodobljeni različici platforme. Za to je treba plačati nekaj več kot 2 ameriška dolarja.
Osebni podatki so ogroženi
Podjetje VX-Underground je situacijo pojasnilo v objavi na portalu X. Navedlo je odgovorno osebo za izpostavljenost podatkov. Ta oseba je našla napako v Duolingovem API. Ta posebna napaka omogoča dostop do polnega imena uporabnika, naslova elektronske pošte in vseh jezikov, s katerimi se je ukvarjal, če mu je posredovan legitimen naslov elektronske pošte. S to metodo je zadevna oseba lahko zbrala več kot 2,6 milijona različnih vnosov.
Žal ta pomanjkljivost v Duolingovem vmesniku API ostaja operativna in BleepingComputer je uspel opraviti lastno preiskavo. Dokler težava ni odpravljena, so e-poštni naslovi uporabnikov storitve dostopni vsakomur.
Zlonamerneži imajo pravo ime in veljaven e-poštni naslov, zato imajo na voljo bistvene podatke za ciljno usmerjene kampanje ribarjenja. Te akcije so usmerjene na uporabnike storitve Duolingo. Ta sporočila bi bila izrazito individualizirana, saj bi storilci imeli dostop do podrobnejših informacij. Hkrati si lahko prizadevajo, da bi v svojih elektronskih sporočilih navidezno prikazovali Duolingo, saj pričakujejo, da bodo potencialne žrtve bolj nagnjene k sodelovanju.
Obstaja tudi skrb zaradi morebitnih finančnih goljufij. Poskusi ribarjenja lahko vodijo do namestitve zlonamerne programske opreme ali razkritja prijavnih in finančnih podatkov. To tveganje je še posebej povezano s storitvijo Super Duolingo, ki je premijska storitev.
Tisti, ki so uporabljali Duolingo in jih skrbi varnost njihove e-pošte, lahko preverijo izpostavljenost na HaveIBeenPwned ali uporabijo Firefox Monitor. Ta orodja pomagajo preveriti, ali so nepooblaščene osebe dostopale do njihove e-pošte. V obeh platformah se z vnosom e-poštnega naslova v iskalni mehanizem ugotovi, ali je bil naslov ogrožen v tem konkretnem primeru ali pri prejšnji kršitvi podatkov.
Preprečevanje “ribarjenja”
Da ne bi postali žrtev “ribarjenja”, je treba skrbno pregledati vsa e-poštna sporočila, ki jih prejmete v svoj e-poštni predal.
Pri tem je treba pregledati naslov pošiljatelja in preveriti, ali se ujema z legitimnim e-poštnim naslovom, povezanim s podjetjem Duolingo. Nato je treba biti pozoren na tipkarske napake in slovnične nedoslednosti. To so pomembni kazalniki poskusov ribarjenja. Ne smete uporabljati povezav ali prenašati priponk, ki jih vsebujejo takšna sporna e-poštna sporočila.
Prav tako je treba biti pozoren na jezik, ki vzbuja občutek neposrednosti. Storilci kibernetskih kaznivih dejanj pogosto izkoriščajo čustva in vzbujajo nujnost. Nekdo, ki se boji roka, se lahko zateče k ribarjenju in s tem tvega svoj račun Duolingo.
Za dodatno zaščito pred zlonamerno programsko opremo ali drugimi potencialnimi nevarnostmi razmislite o uporabi najučinkovitejše protivirusne programske opreme za vašo platformo. To je še posebej pomembno za zaščito pred grožnjami v lažnih e-poštnih sporočilih.
Prihodnji ukrepi podjetja Duolingo v zvezi s tem incidentom še niso določeni. Do takrat morajo biti uporabniki Duolinga še posebej previdni. Njihovi osebni podatki, vključno s pravimi imeni in e-poštnimi naslovi, so lahko dostopni nepooblaščenim osebam.
Vir Foto: zajem zaslona