O aplicativo de aprendizagem de idiomas Duolingo foi hackeado, então os cibercriminosos podem ter acesso ao seu nome e localização. Veja por que isso é importante.
Duolingo é um dos aplicativos de aprendizagem de idiomas mais populares do mundo, ostentando dezenas de milhões de usuários ativos mensais. No entanto, no início de 2023, surgiram notícias de que o Duolingo havia sofrido uma violação de dados que expôs os dados de mais de 2,5 milhões de usuários.
A violação vazou informações públicas e privadas de usuários, incluindo nomes reais, endereços de e-mail, números de telefone e cursos matriculados. Aqui está o que você precisa saber.
A violação de dados do Duolingo: o que aconteceu?
O público tomou conhecimento do problema em janeiro de 2023, quando dados de 2,6 milhões de contas de clientes foram colocados à venda num fórum de hackers por 1.500 dólares.
O fórum está fechado. No entanto, pesquisadores de segurança da VX-Underground descobriram que os dados estavam sendo vendidos em uma nova versão do fórum por oito créditos de site, o que equivale a cerca de US$ 2,13.
O hacker afirma ter extraído os dados de uma API exposta e compartilhado uma amostra de 1.000 contas. O invasor provavelmente inseriu endereços de e-mail de violações anteriores na API para verificar se eles estavam vinculados a contas ativas do Duolingo, criando um conjunto de dados com dados públicos e não públicos.
A explicação de um porta-voz do Duolingo é que os dados foram extraídos de informações de perfil público. No entanto, é difícil aceitar totalmente esta afirmação, uma vez que os dados extraídos incluíam nomes reais dos utilizadores, logins públicos, progresso na aprendizagem de línguas e endereços de e-mail, que normalmente não são públicos.
Quem foi afetado pelo hack do Duolingo?
De acordo com uma pesquisa do Surfshark, a violação de dados do Duolingo atingiu mais duramente os EUA, afetando quase 1 milhão de contas. O Sudão do Sul ficou em segundo lugar, com 175 mil contas afetadas, seguido pela Espanha (123 mil), França (105 mil) e Reino Unido (98 mil).
Cada conta de e-mail comprometida teve cerca de cinco pontos de dados vazados, incluindo nome, nome de usuário, foto do perfil, idioma e país. Em alguns casos, todos os detalhes do usuário foram expostos.
O que acontece a seguir com os dados extraídos?
Os corretores de dados geralmente coletam dados copiados de mídia social e os vendem a terceiros para diversos fins, incluindo marketing. Os cibercriminosos, no entanto, podem usar os dados vazados dos usuários do Duolingo para executar ataques de engenharia social, como ataques de phishing direcionados, usando os nomes reais e endereços de e-mail válidos das vítimas.
Os afetados podem receber e-mails de phishing personalizados – como cursos de idiomas com desconto – graças a nomes vazados, progresso do curso Duolingo e detalhes do país de origem. Esses e-mails também podem incluir convites de viagens para países onde o idioma que você está aprendendo é falado.
Os cibercriminosos também podem se passar pelo Duolingo e enviar e-mails com links para o que parece ser a versão paga do Duolingo ou um curso premium. Se você clicar nesses links e inserir seus dados de pagamento, o invasor poderá roubar suas informações.
Como lidar com a violação de dados do Duolingo
A eliminação de dados de sites e aplicativos é um problema bem conhecido que afeta muitas das principais empresas de tecnologia. Por exemplo, em abril de 2021, dados de cerca de 500 milhões de usuários do LinkedIn foram coletados.
Se você suspeitar que seus dados foram vazados na violação, existem etapas que você pode seguir para resolver o problema. Uma delas é verificar se suas informações foram comprometidas por visitando o site HaveIBeenPwned. Isso afirma que todos os dados violados do Duolingo já estavam em seu banco de dados.
Para evitar phishing, inspecione cuidadosamente os e-mails, especialmente os urgentes. Verifique os endereços dos remetentes, não clique em links e anexos suspeitos e considere instalar software antivírus para proteção aprimorada contra malware em e-mails de phishing.
Cuidado com ataques de personificação e nunca compartilhe informações confidenciais como nomes de usuário e senhas por e-mail, pois o Duolingo não solicita tais detalhes em e-mails. Além disso, siga os conselhos do fornecedor, altere sua senha e considere configurar a autenticação de dois fatores.
E se você não tiver certeza sobre as medidas de segurança que o Duolingo tomou para proteger os dados do usuário? Ou talvez você tenha dúvidas sobre a eficácia de suas ações? Nesse caso, você pode experimentar outros aplicativos de aprendizagem de idiomas.
Proteja seus dados e fortaleça suas defesas
As violações de dados têm se tornado cada vez mais comuns e os detalhes roubados podem servir a diversos propósitos, desde marketing até ataques cibernéticos, incluindo tentativas de phishing. Atualmente, atores mal-intencionados têm acesso às informações de muitos usuários do Duolingo, incluindo seus nomes reais e endereços de e-mail.
Para lidar com violações de dados, os usuários devem tomar medidas proativas, incluindo aprender como identificar possíveis violações e tentativas de falsificação de identidade e combater ataques de phishing.