您受到 Duolingo 資料外洩的影響嗎?接下來要做什麼
Duolingo 是世界上最受歡迎的語言學習應用程式之一,每月有數千萬活躍用戶。然而,2023 年初,有消息指出 Duolingo 遭遇資料洩露,超過 250 萬用戶的資料外洩。
最近的一次安全漏洞導致用戶的個人資料和敏感資料遭到未經授權的洩露,例如他們的全名、電子郵件地址、電話號碼和註冊的課程作業。為了讓您了解此事,我們匯總了最重要的細節,供您仔細閱讀。
Duolingo 資料外洩:發生了什麼事?
2023 年 1 月,有人發現與約 260 萬個客戶帳戶相關的個人資訊在一個專門從事非法活動的線上平台上可供購買,據報道價值 1,500 美元。
論壇已關閉;然而,我們發現可以使用網站積分在該平台的更新版本上購買相關信息,價格約為 2.13 美元。這項消息是由名為 VX-Underground 的網路安全社群成員所揭露的。
據稱,負責未經授權訪問的個人聲稱通過不安全的介面提取了信息,並提供了精選的一千個用戶帳戶詳細信息作為證據。犯罪者懷疑利用從先前的安全事件中獲得的電子郵件地址並將其提交給存在漏洞的應用程式編程接口,以確定這些憑證與當前活動的 Duolingo 帳戶之間是否存在任何匹配。結果,這個過程產生了一個包含可公開存取和機密的客戶資訊的概要。
Duolingo 的代表聲稱,所獲得的資料來自可公開存取的使用者設定檔。儘管如此,這一說法仍面臨質疑,因為檢索到的資訊包括真實姓名、登入憑證、語言熟練程度詳細資訊和電子郵件地址,這些資訊通常都是保密的。
誰受到了 Duolingo 駭客攻擊的影響?
根據 Surfshark 的調查結果,美國似乎受到 Duolingo 資料外洩的影響最嚴重,近 100 萬個帳戶遭到外洩。南蘇丹國家則位居第二,約有 175,000 個受影響帳戶,而西班牙、法國和英國則分別以 123,000、105,000 和 98,000 個受影響帳戶位列前五名。
每個被洩露的電子郵件帳戶中揭露的資訊範圍各不相同,每個實例平均洩露約五個資料元素。其中包括個人的暱稱、登入識別碼、圖形表示、語言偏好和地理位置。不幸的是,在某些情況下,用戶個人資訊的各個方面都可以公開存取。
抓取的資料接下來會發生什麼事?
數據經紀公司經常獲取社交媒體訊息,並與第三方進行交易,以實現一系列目標,包括廣告活動。然而,網路犯罪者可能會利用 Duolingo 用戶的受損資料來策劃有針對性的網路釣魚攻擊,利用受害者的真實姓名和合法電子郵件地址作為其欺騙策略的工具組成部分。
受到影響的個人可能會成為個人化網路釣魚訊息的目標,這些訊息會根據洩漏的資訊(例如姓名、特定 Duolingo 課程的進度和位置)提供折扣的語言課程。此外,他們可能會收到誘人的邀請,前往正在學習的語言流行的國家旅行。
據了解,可疑行為者會偽裝成 Duolingo 並發送包含超連結的電子通信,這些超連結似乎會通往 Duolingo 的升級版本或頂級課程。無意中點擊此類連結並提供個人財務資料可能會導致敏感資訊被惡意個人洩露。
如何處理 Duolingo 資料外洩
從線上平台和應用程式中搜尋資訊已成為影響眾多知名科技公司的普遍問題。例如,在 2021 年 4 月,大約 5 億屬於 LinkedIn 訂閱者的記錄是透過未經授權的方式取得。
如果您認為您的個人資料因 Duolingo 的安全漏洞而暴露,您可以考慮採取一些措施來減輕任何潛在的損害。在這些措施中,一種選擇是確定您的資訊是否因使用 HaveIBeenPwned 網站而受到損害。值得注意的是,該資源表明 Duolingo 的所有受損數據目前都包含在其資料庫中。
為了防範網路釣魚攻擊,徹底檢查所有電子郵件通訊至關重要,尤其是那些傳達緊迫感的電子郵件通訊。在採取任何操作之前,請仔細驗證寄件者地址的真實性,避免點擊不可信的超連結或文件附件,並考慮使用防毒軟體作為針對網路釣魚郵件中隱藏的潛在惡意軟體的額外防禦層。
請警惕冒充者攻擊,這些攻擊可以透過各種方式進行,包括網路釣魚詐騙或身分盜竊計畫。避免透過電子郵件洩露登入憑證等敏感資料非常重要,因為合法組織通常不會透過電子郵件要求此類資訊。此外,建議遵守供應商的建議,並透過變更密碼和啟用多因素身份驗證(如果可用)定期更新帳戶安全措施。
如果您不確定 Duolingo 為保護使用者資訊而採取的安全預防措施,或者對您自己努力的效果持保留態度,您可以考慮探索替代語言學習應用程式作為一種選擇。
保護您的資料並加強您的防禦
近年來,資料外洩的頻率大幅上升,被盜資訊能夠被用於多種目的,包括廣告活動和惡意駭客操作等。不幸的是,據目前報道,惡意個人擁有與眾多 Duolingo 用戶相關的大量敏感數據,包括他們的真實姓名和電子郵件地址。
為了降低資料外洩的風險,使用者必須採取主動的方法,熟悉偵測潛在安全威脅的方法,例如識別假冒嘗試和打擊網路釣魚攻擊。