Das Erlernen einer neuen Sprache kann schwierig sein, weshalb sich Duolingo zu einem so beliebten Dienst entwickelt hat, der weltweit mehr als 74 Millionen monatliche Nutzer hat. Allerdings sind mittlerweile 2,6 Millionen dieser Duolingo-Nutzer gefährdet gezielte Phishing-Angriffe, nachdem Hacker ihre persönlichen Daten online preisgegeben hatten.
Wie berichtet von BleepingComputerein Hacker, gepostet auf a Dark-Web-Forum Bereits im Januar gaben sie bekannt, dass sie die gestohlenen Daten von 2,6 Millionen DuoLingo-Benutzern für 1.500 US-Dollar verkauften. Neben öffentlichen Logins und echten Namen umfasste diese Sammlung abgekratzter Daten auch nicht öffentliche persönliche Informationen wie E-Mail-Adressen von Benutzern und interne Informationen von Duolingo.
Das Scrapen von Daten von Social-Media-Plattformen und anderen Websites ist nichts Neues; Neben Hackern auch Privatunternehmen wie Datenbroker Laden Sie diese Art von Informationen häufig herunter, um sie für Marketingzwecke zu verwenden. Allerdings waren in diesem Fall die E-Mail-Adressen der Duolingo-Benutzer nicht öffentlich verfügbar und wurden stattdessen durch Ausnutzung einer offengelegten API erlangt.
Damals bestätigte Duolingo dies Der Datensatz dass es sich darüber im Klaren war, dass Hacker öffentliche Profilinformationen von seiner Sprachlernplattform abgekratzt hatten, und dass es prüfte, ob zusätzliche Vorsichtsmaßnahmen getroffen werden sollten. Das Unternehmen ging jedoch nicht auf die Tatsache ein, dass in diesen gekratzten Daten auch die E-Mail-Adressen der Benutzer enthalten waren.
Gekratzte E-Mail-Adressen
Während das Dark-Web-Forum, in dem diese Duolingo-Benutzerdaten erstmals beworben wurden, inzwischen geschlossen wurde, wurden die gecrackten Daten nun in einer neuen Version des Forums zu einem viel niedrigeren Preis, etwas mehr als 2 US-Dollar, veröffentlicht.
In einem Beitrag auf X (ehemals Twitter) VX-Underground erklärte, dass der Hacker, der hinter diesem Datenleck steckt, einen Fehler in der API von Duolingo entdeckt hat, der den Namen, die E-Mail-Adresse und alle gelernten Sprachen eines Benutzers bereitstellt, wenn eine gültige E-Mail an sie gesendet wird. Von hier aus nutzte der verantwortliche Hacker „eine E-Mail-Liste, um über 2,6 Millionen einzigartige Einträge zusammenzustellen“.
Leider ist dieser Fehler in der API von Duolingo immer noch aktiv und BleepingComputer konnte ihn selbst testen. Bis dies behoben ist, kann jeder die E-Mail-Adressen der Benutzer des Dienstes erhalten.
Mit einem echten Namen und einer gültigen E-Mail-Adresse verfügen Hacker über alle Informationen, die sie benötigen, um gezielte Phishing-Angriffe gegen die Benutzer von Duolingo zu starten. Anders als normal Phishing-E-Mails, wären diese Nachrichten viel personalisierter, da die Hacker, die sie versenden, über mehr Informationen verfügen, mit denen sie arbeiten können. Gleichzeitig könnten sie auch versuchen, sich in ihren Nachrichten als Duolingo auszugeben, in der Hoffnung, dass potenzielle Opfer eher klicken.
Neben dem Versuch, Ihr Geld zu stehlen, könnten Hacker diese gezielten Phishing-E-Mails auch nutzen, um Duolingo-Benutzer dazu zu bringen Installieren Sie Malware auf ihren Computern oder ihre Zugangsdaten oder sogar ihre Zahlungsinformationen anzugeben, da der Dienst über eine kostenpflichtige Stufe namens Super Duolingo verfügt.
So schützen Sie sich vor Phishing-Betrug
Um nicht Opfer von Phishing zu werden, müssen Sie alle E-Mails, die in Ihrem Posteingang eingehen, sorgfältig prüfen.
Das bedeutet, dass Sie sich die Adresse des Absenders ansehen und prüfen müssen, ob es sich um eine legitime E-Mail-Adresse handelt, die von Duolingo verwendet wird. Von hier aus sollten Sie auf falsch geschriebene Wörter und schlechte Grammatik achten, da dies ein Problem darstellt große rote Fahne wenn es um Phishing-E-Mails geht. Sie möchten außerdem vermeiden, auf Links zu klicken oder Anhänge herunterzuladen, die diese verdächtigen E-Mails enthalten könnten.
Ebenso sollten Sie nach einer Sprache Ausschau halten, die zu vermitteln versucht ein Gefühl der Dringlichkeit, da Hacker und andere Cyberkriminelle Ihre Gefühle oft gegen Sie ausnutzen. Wenn Sie sich Sorgen über eine mögliche Frist oder den Verlust des Zugriffs auf Ihr Duolingo-Konto machen, ist die Wahrscheinlichkeit höher, dass Sie antworten oder tun, was ein Betrüger in seiner Phishing-E-Mail vorschlägt.
Für zusätzlichen Schutz vor Malware oder anderen Bedrohungen, die Phishing-E-Mails enthalten können, sollten Sie die installieren beste Antivirensoftware auf Ihrem PC, die beste Mac-Antivirensoftware auf Ihrem Mac oder einem der beste Android-Antiviren-Apps auf Ihrem Smartphone.
Wir müssen abwarten, wie Duolingo auf diesen Vorfall reagiert, aber in der Zwischenzeit müssen Duolingo-Benutzer äußerst vorsichtig sein, da ihre echten Namen und E-Mail-Adressen derzeit in die Hände von Hackern geraten könnten.