Voici pourquoi vous ne devriez pas faire confiance aux e-mails de Duolingo

Les e-mails de la chouette Duolingo sont généralement, au pire, une nuisance. Mais les cybercriminels ont désormais la main sur votre adresse e-mail et vos données Duolingo et peuvent donc vous envoyer des e-mails très ciblés pour vous attirer dans des pièges à phishing.

Voici pourquoi vous ne pouvez plus faire confiance aux e-mails de Duolingo.

Comment les attaquants ont-ils obtenu vos informations de Duolingo?

Croyez-le ou non, la plupart de vos données Duolingo sont accessibles à toute personne ayant un intérêt passager et ayant du temps libre. Vous pouvez voir les données de profil de base telles que le nom d'utilisateur, les images de profil et les langues étudiées en visitant https://www.duolingo.com/profile/[username]-le nom d'utilisateur est le profil de la personne qui vous intéresse.

Si vous avez quelques heures à perdre, vous pouvez enquêter sur quelques dizaines de profils, vérifier si les noms d'utilisateur sont utilisés ailleurs ou même

lancer une recherche d'image inversée sur la photo de profil et voyez où il apparaît sur Internet.

C'est une façon amusante de passer le temps, mais inefficace si votre objectif est de collecter d'énormes quantités de données, et c'est assez simple à créer une application qui récupérera les données des sites Web pour vous.

Utiliser la propre plateforme Interface de programmation d'applications (API), il est encore plus facile de collecter d'énormes quantités de données publiques à partir de plateformes telles que Facebook, Twitter, LinkedIn ou Duolingo.

En janvier 2023, L'enregistrement a rapporté que les pirates avaient utilisé l'API de Duolingo pour récupérer les données publiques de 2,6 millions d'utilisateurs et avaient publié les données en vente sur le forum violationd.to, aujourd'hui disparu.

Bien que Duolingo ait reconnu que les données étaient valides, la société a insisté sur le fait qu'il s'agissait de données de profil accessibles au public et qu'aucun piratage ni violation de données n'avait eu lieu.

Le 22 août 2023, le marché des logiciels malveillants VX-Underground a révélé sur X (la plateforme anciennement connue sous le nom de Twitter) que ces données récupérées contenait également des adresses e-mail d'utilisateurs et qu'il pouvait et avait été utilisé pour obtenir des informations supplémentaires, notamment le nom et le numéro de téléphone. nombre.

Comment les données Duolingo peuvent-elles être utilisées contre vous?

Les e-mails de Duolingo sont si courants qu'ils sont devenus un mème incontournable. Si vous manquez une journée de pratique d'espéranto, la mascotte du hibou de Duolingo, Duo, apparaîtra dans votre boîte de réception pour vous dire qu'il est triste.

Des e-mails vaguement menaçants apparaissent peu de temps après, ainsi que des e-mails vous informant que votre séquence a été gelée, puis cassé, et que vous descendez dans les classements, puis des exhortations à prendre une pause de trois minutes leçon.

Chaque e-mail contiendra des informations sur vos activités récentes d'apprentissage des langues et fournira un lien pratique vous permettant de vous connecter au site.

Maintenant que votre nom, vos informations Duolingo et votre activité sont entre les mains de criminels potentiels, il est très simple de créer automatiquement des e-mails de phishing qui vous persuaderont de cliquer sur le lien.

Nous considérons qu'il est probable que le lien vous demandera de vous connecter, en fournissant également votre mot de passe aux attaquants.

Les e-mails frauduleux peuvent paraître encore plus authentiques si les attaquants profitent des nombreux domaines Duolingo disponibles. Feriez-vous confiance à un e-mail de duolingo.live, duolingo.tech, duolingo.world ou duolingo.life? Tous sont actuellement disponibles pour moins de 10 $, tandis que le duolingo.club, légèrement plus convaincant, peut être obtenu pour le prix relativement élevé d'environ 600 $ (au moment de la rédaction de cet article).

Avec votre adresse e-mail et votre mot de passe, les criminels peuvent commencer à attaquer vos autres comptes en ligne.

Comment vous protéger contre les escroqueries par hameçonnage Duolingo

Si vous craignez que vos données soient incluses dans l'ensemble de données de 2,6 millions d'entrées, la première chose à faire est de vous rendre sur avoir été pwned, et entrez votre adresse e-mail. Si c'est là, vous verrez les violations dans lesquelles vos données ont été exposées.

Ensuite, vous devez vous désinscrire de tous les e-mails Duolingo. Ils sont irritants de toute façon, et si certains arrivent dans votre boîte de réception, vous saurez qu'ils proviennent d'escrocs. Faites-le en utilisant un message historique et véridique du service, comme même les boutons de désabonnement peuvent être des arnaques!

C'est toujours une bonne idée de créer un mot de passe distinct pour chaque service que vous utilisez. De cette façon, si votre mot de passe est compromis lors d'une violation de données ou si vous le révélez accidentellement lors d'une attaque de phishing, il ne pourra être utilisé sur aucun de vos autres comptes.

Si vous le pouvez, utilisez également une adresse e-mail unique pour chaque site Web ou application. C'est facile de déguiser votre adresse e-mail, et l'empêchera d'être diffusé pour être utilisé dans d'autres escroqueries ou campagnes de spam. Nous recommandons simple transfert d'e-mails fourre-tout pour ça.

Duolingo n'est pas le seul moyen d'apprendre une nouvelle langue

Si vous n'êtes pas satisfait de la façon dont Duolingo a rendu vos données publiques et privées disponibles via sa propre API, ou peut-être vous êtes frustré par ses tactiques didactiques et son pédantisme pédagogique, vous envisagez peut-être d'abandonner Duo pour bien.

Quitter Duolingo ne signifie pas que vous devez abandonner vos études, et il existe de nombreux sites superbes qui peuvent vous aider à alléger la charge de l'apprentissage des langues en ligne.