L'app per l'apprendimento delle lingue Duolingo è stata violata e i criminali informatici potrebbero avere accesso al tuo nome e alla tua posizione. Ecco perché è importante.
Duolingo è una delle app per l'apprendimento delle lingue più popolari al mondo, che vanta decine di milioni di utenti mensili attivi. Tuttavia, all’inizio del 2023, è arrivata la notizia che Duolingo aveva subito una violazione dei dati che ha esposto i dati di oltre 2,5 milioni di utenti.
La violazione ha fatto trapelare informazioni pubbliche e private sugli utenti, inclusi nomi reali, indirizzi e-mail, numeri di telefono e corsi iscritti. Ecco cosa devi sapere.
La violazione dei dati di Duolingo: cosa è successo?
Il pubblico venne a conoscenza del problema nel gennaio 2023, quando i dati di 2,6 milioni di account clienti furono messi in vendita su un forum di hacking per 1.500 dollari.
Il forum è ora chiuso. Tuttavia, i ricercatori di sicurezza di VX-Underground hanno scoperto che i dati venivano venduti su una nuova versione del forum per otto crediti sul sito, che si traducono in circa $ 2,13.
L'hacker afferma di aver recuperato i dati da un'API esposta e di aver condiviso un campione da 1.000 account. L’aggressore probabilmente ha inserito indirizzi e-mail di violazioni passate nell’API per verificare se fossero collegati ad account Duolingo attivi, creando un set di dati con dati pubblici e non pubblici.
La spiegazione di un portavoce di Duolingo è che i dati sono stati estratti dalle informazioni del profilo pubblico. Tuttavia, è difficile accettare pienamente questa affermazione poiché i dati recuperati includevano nomi reali degli utenti, accessi pubblici, progressi nell’apprendimento della lingua e indirizzi e-mail, che in genere non sono pubblici.
Chi è stato colpito dall'hacking di Duolingo?
Secondo una ricerca di Surfshark, la violazione dei dati di Duolingo ha colpito più duramente gli Stati Uniti, colpendo quasi 1 milione di account. Il Sud Sudan si è classificato al secondo posto con 175.000 account interessati, seguito da Spagna (123.000), Francia (105.000) e Regno Unito (98.000).
Da ogni account di posta elettronica compromesso sono trapelati circa cinque dati, inclusi nome, nome utente, immagine del profilo, lingua e paese. In alcuni casi, tutti i dettagli di un utente sono stati esposti.
Cosa succede dopo ai dati raschiati?
I broker di dati spesso raccolgono dati ricavati dai social media e li vendono a terzi per vari scopi, incluso il marketing. I criminali informatici, tuttavia, potrebbero utilizzare i dati trapelati dagli utenti di Duolingo per eseguire operazioni attacchi di ingegneria sociale, come attacchi di phishing mirati, utilizzando i nomi reali delle vittime e indirizzi email validi.
Le persone interessate potrebbero ricevere e-mail di phishing personalizzate, come corsi di lingua scontati, grazie ai nomi trapelati, ai progressi del corso Duolingo e ai dettagli del paese di origine. Queste e-mail potrebbero anche includere inviti di viaggio verso paesi in cui si parla la lingua che stai imparando.
I criminali informatici possono anche impersonare Duolingo e inviare e-mail con collegamenti a quella che sembra essere la versione a pagamento di Duolingo o un corso premium. Se fai clic su questi collegamenti e inserisci i dettagli di pagamento, l'aggressore può rubare le tue informazioni.
Come gestire la violazione dei dati di Duolingo
La rimozione dei dati da siti Web e app è un problema ben noto che affligge molte delle principali aziende tecnologiche. Ad esempio, nell'aprile 2021, sono stati recuperati i dati di circa 500 milioni di utenti LinkedIn.
Se sospetti che i tuoi dati siano trapelati durante la violazione, ci sono dei passaggi che puoi intraprendere per risolvere il problema. Uno di questi sta controllando se le tue informazioni sono state compromesse da visitando il sito web di HaveIBeenPwned. Ciò afferma che tutti i dati Duolingo violati erano già nel suo database.
Per prevenire il phishing, ispeziona attentamente le e-mail, soprattutto quelle urgenti. Verifica gli indirizzi dei mittenti, non fare clic su collegamenti e allegati sospetti e considera l'installazione di un software antivirus per una protezione avanzata contro il malware nelle e-mail di phishing.
Attenzione agli attacchi di impersonificazione e non condividere mai informazioni sensibili come nomi utente e password via e-mail, poiché Duolingo non richiede tali dettagli nelle e-mail. Inoltre, segui i consigli del fornitore, modifica la password e valuta la possibilità di impostare l'autenticazione a due fattori.
Cosa succede se non sei sicuro delle misure di sicurezza adottate da Duolingo per proteggere i dati degli utenti? O forse hai dubbi sull'efficacia delle tue azioni? In tal caso, puoi provare altre app per l'apprendimento delle lingue.
Proteggi i tuoi dati e rafforza le tue difese
Le violazioni dei dati sono diventate sempre più comuni e i dettagli rubati possono servire a vari scopi, dal marketing agli attacchi informatici, compresi i tentativi di phishing. Attualmente, gli autori malintenzionati hanno accesso alle informazioni di molti utenti Duolingo, inclusi i loro nomi reali e indirizzi email.
Per affrontare le violazioni dei dati, gli utenti dovrebbero adottare misure proattive, compreso imparare a identificare potenziali violazioni e tentativi di impersonificazione e combattere gli attacchi di phishing.