Duolingo 用户数据泄露事件始末
多邻国 (Duolingo) 是一款风靡全球的语言学习应用,每月活跃用户数以千万计。 然而,在 2023 年初,有消息披露多邻国遭遇了一起数据泄露事件,超过 250 万用户的个人信息因此泄露。
这次泄露事件暴露了用户的公共和私人信息,包括真实姓名、电子邮件地址、电话号码以及注册课程等。 以下是对此次事件的详细剖析。
多邻国数据泄露:事件经过
这起事件在 2023 年 1 月被公众知晓,当时 260 万个用户账户的数据在黑客论坛上以 1500 美元的价格出售。
虽然该论坛目前已被关闭,但安全研究人员在新的论坛上发现,这些数据以 8 个站点积分的价格再次出售,约合 2.13 美元。
黑客声称他们是通过暴露的 API 抓取了这些数据,并分享了 1000 个账户的样本。 攻击者可能利用过往泄露事件中的电子邮件地址,通过 API 验证这些地址是否与活跃的多邻国账户相关联,从而创建了包含公共和非公共信息的数据集。
多邻国官方发言人解释说,这些数据是从公开的用户个人资料中抓取的。 然而,这种说法难以令人信服,因为被抓取的数据包括用户的真实姓名、公开登录信息、语言学习进度以及电子邮件地址等通常不公开的信息。
哪些用户受到了多邻国黑客攻击的影响?
根据 Surfshark 的研究,此次多邻国数据泄露事件对美国造成的影响最为严重,近 100 万个账户受到影响。 南苏丹位居第二,有 17.5 万个受影响的账户,其次是西班牙(12.3 万个)、法国(10.5 万个)和英国(9.8 万个)。
每个受影响的电子邮件账户约有五个数据点被泄露,包括姓名、用户名、个人资料图片、语言和国家/地区。 在某些情况下,用户的全部详细信息都被暴露。
被抓取的数据将会如何?
数据经纪人通常会收集被抓取的社交媒体数据,并将其出售给第三方,用于包括营销在内的各种目的。 然而,网络犯罪分子可能会利用泄露的多邻国用户数据来实施社会工程攻击,例如利用受害者的真实姓名和有效电子邮件地址进行有针对性的网络钓鱼攻击。
由于泄露了姓名、多邻国课程进度以及祖国等详细信息,受影响的用户可能会收到量身定制的网络钓鱼邮件,例如提供打折的语言课程。 这些电子邮件甚至可能包含前往用户正在学习的语言所在国家的旅行邀请。
网络犯罪分子也可能冒充多邻国,发送看似提供付费版多邻国或高级课程链接的电子邮件。 如果用户点击这些链接并输入付款信息,攻击者就可以窃取他们的信息。
如何应对多邻国数据泄露事件?
从网站和应用程序中提取数据是一个影响众多大型科技公司的常见问题。 例如,在 2021 年 4 月,约有 5 亿 LinkedIn 用户的数据被抓取。
如果您怀疑自己的数据在此次泄露事件中被泄露,可以采取一些措施。 例如,可以通过访问 HaveIBeenPwned 网站来检查自己的信息是否已经泄露。 该公司声称其数据库中已包含所有被泄露的多邻国数据。
为了防止网络钓鱼攻击,请仔细检查电子邮件,尤其是那些要求立即采取行动的邮件。 验证发件人的地址,不要点击可疑的链接和附件,并考虑安装防病毒软件,以增强防御网络钓鱼邮件中恶意软件的能力。
谨防假冒攻击,切勿通过电子邮件分享用户名和密码等敏感信息,因为多邻国不会在电子邮件中要求这些信息。 此外,请遵循多邻国的建议,更改密码并考虑启用双重身份验证。
如果您不确定多邻国为保护用户数据而采取的安全措施,或者对自己采取的行动的有效性感到担忧,您可以考虑尝试其他语言学习应用程序。
保护您的数据并加强防御
数据泄露事件正变得越来越普遍,被盗的详细信息可能被用于各种目的,从营销到网络攻击,包括网络钓鱼攻击。 目前,恶意行为者可以访问众多多邻国用户的信息,包括他们的真实姓名和电子邮件地址。
为了应对数据泄露问题,用户应采取积极措施,包括学习如何识别潜在的泄露和假冒尝试,以及如何防范网络钓鱼攻击。