O Duolingo, um dos aplicativos mais renomados para o aprendizado de idiomas, com uma vasta base de dezenas de milhões de usuários ativos mensalmente, viu-se no centro de uma polêmica no início de 2023. Uma brecha de segurança expôs informações pessoais de mais de 2,5 milhões de seus utilizadores.
Essa falha de segurança permitiu o acesso não autorizado a dados sensíveis, tanto públicos quanto privados, incluindo nomes completos, endereços de correio eletrónico, números de telefone e detalhes sobre os cursos em que cada usuário estava inscrito. Vamos analisar os pormenores deste incidente.
A Invasão de Dados do Duolingo: O Que Aconteceu?
A notícia veio à tona em janeiro de 2023, quando informações pertencentes a 2,6 milhões de contas de utilizadores foram colocadas à venda num fórum frequentado por hackers, com um preço de 1.500 dólares.
Embora o fórum original tenha sido desativado, investigadores da área de segurança da VX-Underground constataram que os mesmos dados estavam a ser negociados num novo espaço virtual, por um valor equivalente a cerca de 2,13 dólares.
O autor da invasão alega ter obtido os dados através de uma API vulnerável, disponibilizando uma amostra de 1.000 contas. Presume-se que ele tenha introduzido endereços de email recolhidos em outras violações anteriores na API, para identificar quais deles estavam associados a contas ativas no Duolingo, criando assim um conjunto de dados que misturava informações públicas e privadas.
Um porta-voz do Duolingo explicou que os dados divulgados consistiam em informações de perfil que já eram públicas. No entanto, essa explicação é questionável, visto que os dados expostos incluíam nomes reais de utilizadores, logins, progresso no aprendizado de idiomas e endereços de email, que normalmente não são de acesso público.
Quem Foi Afetado Pelo Ataque ao Duolingo?
De acordo com um estudo da Surfshark, a invasão afetou principalmente os EUA, com quase 1 milhão de contas comprometidas. O Sudão do Sul aparece em segundo lugar, com 175 mil contas afetadas, seguido pela Espanha (123 mil), França (105 mil) e Reino Unido (98 mil).
Em cada conta de correio eletrónico comprometida, foram vazados aproximadamente cinco pontos de informação, incluindo o nome, nome de usuário, foto de perfil, idioma e país. Em alguns casos, todos os dados do usuário foram expostos.
O Que Acontece Com os Dados Extraídos?
Agentes de dados costumam recolher dados obtidos de redes sociais e vendê-los a terceiros para diversas finalidades, inclusive para ações de marketing. No entanto, os cibercriminosos podem usar os dados vazados dos utilizadores do Duolingo para conduzir ataques de engenharia social, como ataques de phishing personalizados, utilizando os nomes reais e endereços de email válidos das vítimas.
Os utilizadores afetados podem receber emails de phishing que parecem personalizados – como ofertas de cursos de idiomas com desconto – utilizando os seus nomes, dados sobre o seu progresso no Duolingo e detalhes do seu país de origem. Esses emails também podem conter convites de viagem para países onde se fala o idioma que o usuário está a aprender.
Os criminosos cibernéticos também podem usar a identidade do Duolingo e enviar emails com links para o que parece ser a versão paga do aplicativo ou um curso premium. Se clicar nesses links e inserir as suas informações de pagamento, o invasor pode roubar os seus dados.
Como Lidar Com a Violação de Dados do Duolingo
A extração de dados de sites e aplicativos é um problema comum que afeta muitas empresas de tecnologia importantes. Um exemplo foi o caso de abril de 2021, quando informações de cerca de 500 milhões de utilizadores do LinkedIn foram recolhidas.
Se suspeitar que os seus dados foram expostos nesta violação, pode seguir algumas medidas para mitigar o problema. Uma delas é verificar se as suas informações foram comprometidas, acedendo ao site HaveIBeenPwned. Este site confirma que todos os dados vazados do Duolingo já estavam na sua base de dados.
Para se proteger contra o phishing, examine cuidadosamente os emails, principalmente aqueles com caráter urgente. Verifique os endereços dos remetentes, evite clicar em links e anexos suspeitos, e considere instalar um software antivírus para reforçar a proteção contra malware em emails de phishing.
Esteja atento a tentativas de roubo de identidade e nunca partilhe informações confidenciais, como nomes de usuário e senhas, por email, pois o Duolingo não solicita esses detalhes por esse canal. Além disso, siga as recomendações do fornecedor, altere a sua palavra-passe e considere ativar a autenticação de dois fatores.
Caso tenha dúvidas sobre as medidas de segurança implementadas pelo Duolingo para proteger os seus dados ou sobre a eficácia das suas ações, pode optar por experimentar outros aplicativos de aprendizado de idiomas.
Proteja os Seus Dados e Reforce as Suas Defesas
As violações de dados tornaram-se cada vez mais frequentes e os dados roubados podem ser utilizados para diversas finalidades, desde campanhas de marketing a ataques cibernéticos, incluindo tentativas de phishing. Atualmente, pessoas mal-intencionadas têm acesso a informações de muitos utilizadores do Duolingo, incluindo os seus nomes reais e endereços de email.
Para lidar com violações de dados, os utilizadores devem tomar medidas proativas, como aprender a identificar possíveis violações e tentativas de roubo de identidade, e a combater ataques de phishing.