Tại Sao Bạn Không Nên Tin Tưởng Email Từ Duolingo Nữa?

Cách Thức Tấn Công Để Lấy Thông Tin Của Bạn Từ Duolingo

Hình ảnh ứng dụng học ngôn ngữ Duolingo

Tin hay không tùy bạn, hầu hết dữ liệu Duolingo của bạn đều có sẵn cho bất kỳ ai có chút quan tâm và thời gian rảnh rỗi. Bạn có thể xem dữ liệu hồ sơ cơ bản như tên người dùng, hình ảnh hồ sơ và các ngôn ngữ đang học bằng cách truy cập vào https://www.duolingo.com/profile/[username]—username là tên của người mà bạn quan tâm.

Nếu bạn có vài giờ rảnh rỗi, bạn có thể điều tra vài chục hồ sơ, kiểm tra xem tên người dùng có được sử dụng ở nơi khác hay thậm chí tìm kiếm ngược hình ảnh trên ảnh hồ sơ và xem nó xuất hiện ở đâu khác trên internet.

Đây là cách thú vị để giết thời gian, nhưng không hiệu quả nếu mục tiêu của bạn là thu thập một lượng lớn dữ liệu, và việc xây dựng một ứng dụng để cào dữ liệu từ các trang web là khá đơn giản.

Sử dụng Giao diện Lập trình Ứng dụng (API) của nền tảng, việc thu thập một lượng lớn dữ liệu công khai từ các nền tảng như Facebook, Twitter, LinkedIn hoặc Duolingo còn dễ dàng hơn.

Vào tháng 1 năm 2023, The Record đã báo cáo rằng các hacker đã sử dụng API của Duolingo để cào dữ liệu công khai của 2,6 triệu người dùng, và đã đăng dữ liệu này để bán trên diễn đàn breached.to đã bị đóng cửa.

Mặc dù Duolingo thừa nhận rằng dữ liệu là hợp lệ, nhưng công ty khẳng định rằng đó là dữ liệu hồ sơ công khai và không có vụ hack hay rò rỉ dữ liệu nào xảy ra.

Vào ngày 22 tháng 8 năm 2023, thị trường phần mềm độc hại VX-Underground đã tiết lộ trên X (nền tảng trước đây gọi là Twitter) rằng dữ liệu này cũng chứa địa chỉ email của người dùng, và nó có thể và đã được sử dụng để thu thập thêm thông tin bao gồm tên và số điện thoại.

Dữ Liệu Duolingo Có Thể Được Sử Dụng Chống Lại Bạn Như Thế Nào?

Email từ Duolingo quá phổ biến đến nỗi chúng đã trở thành một meme quen thuộc. Nếu bạn bỏ lỡ một ngày học tiếng Esperanto, chú cú mascot của Duolingo, Duo, sẽ xuất hiện trong hộp thư của bạn để nói rằng nó buồn.

Những email có phần đe dọa sẽ xuất hiện ngay sau đó, cùng với các email thông báo rằng chuỗi học của bạn đã bị đóng băng, rồi bị phá vỡ, và bạn đang tụt hạng trên bảng xếp hạng, sau đó là các lời kêu gọi tham gia một bài học ba phút.

Mỗi email sẽ chứa thông tin về hoạt động học ngôn ngữ gần đây của bạn, và cung cấp một liên kết thuận tiện để bạn đăng nhập vào trang web.

Giờ đây, tên, thông tin Duolingo và hoạt động của bạn nằm trong tay của các tội phạm tiềm năng, việc tạo ra các email lừa đảo tự động để thuyết phục bạn nhấp vào liên kết trở nên cực kỳ dễ dàng.

Chúng tôi cho rằng liên kết sẽ yêu cầu bạn đăng nhập—cung cấp cho kẻ tấn công mật khẩu của bạn.

Các email lừa đảo có thể trông còn chân thực hơn nếu kẻ tấn công lợi dụng nhiều tên miền của Duolingo có sẵn. Bạn có tin vào một email từ duolingo.live, duolingo.tech, duolingo.world, hay duolingo.life không? Tất cả đều hiện có sẵn với giá dưới 10 đô la, trong khi tên miền hấp dẫn hơn một chút như duolingo.club có thể được mua với giá khoảng 600 đô la (tại thời điểm viết bài).

Với địa chỉ email và mật khẩu của bạn, tội phạm có thể bắt đầu tấn công các tài khoản trực tuyến khác của bạn.

Cách Bảo Vệ Bản Thân Khỏi Các Email Lừa Đảo Từ Duolingo

Nếu bạn lo lắng rằng dữ liệu của mình có thể nằm trong tập dữ liệu 2,6 triệu mục, điều đầu tiên bạn nên làm là truy cập vào haveibeenpwned, và nhập địa chỉ email của bạn. Nếu nó có trong đó, bạn sẽ thấy các vụ rò rỉ mà dữ liệu của bạn đã bị lộ.

Tiếp theo, bạn nên hủy đăng ký tất cả email từ Duolingo. Chúng gây khó chịu dù sao đi nữa, và nếu có email nào lọt vào hộp thư của bạn, bạn sẽ biết rằng chúng đến từ kẻ lừa đảo. Hãy làm điều này bằng cách sử dụng một tin nhắn lịch sử, đáng tin cậy từ dịch vụ, vì ngay cả nút hủy đăng ký cũng có thể là lừa đảo!

Luôn luôn là một ý kiến hay khi tạo một mật khẩu riêng biệt cho mỗi dịch vụ bạn sử dụng. Bằng cách này, nếu mật khẩu của bạn bị lộ trong một vụ rò rỉ dữ liệu, hoặc bạn vô tình tiết lộ nó trong một cuộc tấn công lừa đảo, nó không thể được sử dụng trên bất kỳ tài khoản nào khác của bạn.

Nếu có thể, hãy sử dụng một địa chỉ email độc đáo cho mỗi trang web hoặc ứng dụng. Việc che giấu địa chỉ email của bạn rất dễ dàng, và sẽ ngăn nó bị truyền đi để sử dụng trong các vụ lừa đảo hoặc chiến dịch spam khác. Chúng tôi khuyến nghị sử dụng chuyển tiếp email bắt tất cả cho việc này.