Os e-mails da coruja do Duolingo, por vezes, são considerados irritantes. Contudo, um novo problema surgiu: criminosos cibernéticos agora possuem acesso aos endereços de e-mail e dados dos usuários do Duolingo. Isso possibilita o envio de e-mails altamente personalizados com o objetivo de atrair vítimas para armadilhas de phishing.
Entenda por que não se deve confiar nos e-mails do Duolingo atualmente.
Como os invasores obtiveram seus dados do Duolingo?
Surpreendentemente, uma grande parte dos dados do Duolingo são facilmente acessíveis a qualquer pessoa que tenha algum interesse e tempo disponível. É possível visualizar informações básicas de perfil, como nome de usuário, foto do perfil e idiomas que estão sendo estudados, ao visitar o endereço https://www.duolingo.com/profile/[nome de usuário]. Basta substituir “[nome de usuário]” pelo perfil desejado.
Com algumas horas livres, é possível investigar diversos perfis, verificar se os nomes de usuário são utilizados em outras plataformas ou até mesmo fazer uma pesquisa reversa da imagem do perfil para descobrir onde mais ela aparece na internet.
Essa prática pode ser um passatempo divertido, mas é ineficiente para coletar grandes quantidades de dados. Felizmente, criar um aplicativo para coletar dados de sites é relativamente simples.
Utilizando a própria interface de programação de aplicativos (API) da plataforma, torna-se ainda mais fácil coletar grandes volumes de dados públicos de redes como Facebook, Twitter, LinkedIn ou o próprio Duolingo.
Em janeiro de 2023, o site The Record noticiou que hackers utilizaram a API do Duolingo para extrair dados públicos de 2,6 milhões de usuários. Esses dados foram então disponibilizados para venda em um fórum já extinto chamado violado.to.
Embora o Duolingo tenha confirmado a validade dos dados, a empresa insistiu que se tratava de dados de perfil publicamente disponíveis e que não houve nenhum tipo de hack ou invasão de dados.
Em 22 de agosto de 2023, o mercado de malware VX-Underground revelou no X (antigo Twitter) que os dados extraídos também continham endereços de e-mail dos usuários. Essas informações poderiam ser, e foram, utilizadas para obter ainda mais detalhes, como nome e número de telefone.
Como os dados do Duolingo podem ser usados contra você?
Os e-mails do Duolingo são tão frequentes que se tornaram um meme popular. Se você perder um dia de prática de Esperanto, o mascote coruja do Duolingo, Duo, enviará um e-mail para a sua caixa de entrada informando que está triste.
Logo em seguida, surgem e-mails ligeiramente ameaçadores, além de mensagens avisando que sua sequência foi congelada, posteriormente quebrada e que você está caindo nas tabelas de classificação. Tudo isso acompanhado de exortações para fazer uma lição de três minutos.
Cada e-mail contém informações sobre suas atividades recentes de aprendizado de idiomas e fornece um link para que você faça login no site.
Agora que seu nome, informações do Duolingo e atividades estão em posse de criminosos em potencial, é muito fácil criar e-mails de phishing automatizados que o convencerão a clicar no link.
É provável que o link o direcione para uma página de login, onde seus invasores também obterão sua senha.
E-mails fraudulentos podem se tornar ainda mais convincentes se os invasores explorarem os diversos domínios disponíveis do Duolingo. Você confiaria em um e-mail de duolingo.live, duolingo.tech, duolingo.world ou duolingo.life? Todos eles estão atualmente à venda por menos de US$ 10, enquanto o duolingo.club, um pouco mais chamativo, pode ser adquirido por cerca de US$ 600 (no momento da escrita deste artigo).
Com seu endereço de e-mail e senha em mãos, os criminosos podem começar a atacar suas outras contas online.
Como se proteger de golpes de phishing do Duolingo
Se você está preocupado com a possibilidade de seus dados estarem incluídos no conjunto de 2,6 milhões de entradas, o primeiro passo é acessar o site Have I Been Pwned e digitar seu endereço de e-mail. Se seus dados estiverem lá, você poderá visualizar as violações nas quais eles foram expostos.
Em seguida, cancele a assinatura de todos os e-mails do Duolingo. Eles são incômodos e, se algum chegar à sua caixa de entrada, você saberá que se trata de um golpe. Faça isso utilizando uma mensagem histórica e verdadeira do serviço, pois até mesmo os botões de cancelamento de assinatura podem ser falsos!
É sempre uma boa prática utilizar senhas diferentes para cada serviço que você usa. Assim, caso sua senha seja comprometida em uma violação de dados ou se você a revelar acidentalmente em um ataque de phishing, ela não poderá ser usada em nenhuma de suas outras contas.
Se possível, utilize também um endereço de e-mail único para cada site ou aplicativo. É fácil disfarçar seu endereço de e-mail e evitar que ele seja repassado para outros golpes ou campanhas de spam. Recomenda-se o uso de encaminhamento de e-mail simples e abrangente para isso.
O Duolingo não é a única forma de aprender um novo idioma
Se você não está satisfeito com a forma como o Duolingo disponibilizou seus dados públicos e privados através de sua própria API, ou talvez esteja frustrado com suas táticas de ensino e rigor pedagógico, talvez esteja considerando abandonar o Duo para sempre.
Desistir do Duolingo não significa abandonar seus estudos. Existem muitos outros excelentes sites que podem auxiliar no aprendizado de idiomas online.