Siber Güvenlik

Duolingo Veri İhlalinden Etkilendiniz mi?

Duolingo, milyonlarca aktif aylık kullanıcıya sahip, dünyanın en popüler dil öğrenme uygulamalarından biridir. Ancak 2023’ün başlarında Duolingo’nun 2,5 milyondan fazla kullanıcının verilerini açığa çıkaran bir veri ihlaline maruz kaldığı haberi geldi.

İhlal, gerçek isimler, e-posta adresleri, telefon numaraları ve kayıtlı kurslar dahil olmak üzere herkese açık ve özel kullanıcı bilgilerini sızdırdı. İşte bilmeniz gerekenler.

Duolingo Veri İhlali: Ne Oldu?

Kamuoyu, sorunu Ocak 2023’te, 2,6 milyon müşteri hesabından alınan verilerin bir bilgisayar korsanlığı forumunda 1.500 dolara satışa sunulduğu sırada öğrendi.

Forum artık kapalı. Ancak VX-Underground’dan güvenlik araştırmacıları, verilerin forumun yeni bir sürümünde sekiz site kredisi karşılığında satıldığını buldu; bu da yaklaşık 2,13 dolar anlamına geliyor.

Bilgisayar korsanı, verileri açığa çıkan bir API’den aldığını ve 1.000 hesaptan bir örnek paylaştığını iddia ediyor. Saldırganın, aktif Duolingo hesaplarına bağlı olup olmadıklarını kontrol etmek için geçmiş ihlallere ait e-posta adreslerini API’ye göndermesi muhtemeldir ve böylece herkese açık ve kamuya açık olmayan verilerden oluşan bir veri kümesi oluşturulmuştur.

Bir Duolingo sözcüsünün açıklaması, verilerin genel profil bilgilerinden alındığı yönünde. Ancak, kazınan veriler kullanıcıların gerçek adlarını, genel oturum açma bilgilerini, dil öğrenme ilerlemelerini ve genellikle kamuya açık olmayan e-posta adreslerini içerdiğinden bu iddiayı tam olarak kabul etmek zordur.

Duolingo Hackinden Kimler Etkilendi?

Surfshark araştırmasına göre Duolingo veri ihlali en çok ABD’yi vurdu ve neredeyse 1 milyon hesabı etkiledi. Güney Sudan, etkilenen 175.000 hesapla ikinci sırada yer alırken, onu İspanya (123.000), Fransa (105.000) ve Birleşik Krallık (98.000) takip etti.

Ele geçirilen her e-posta hesabının adı, kullanıcı adı, profil resmi, dili ve ülkesi de dahil olmak üzere yaklaşık beş veri noktası sızdırıldı. Bazı durumlarda bir kullanıcının tüm ayrıntıları açığa çıktı.

Kazınmış Verilere Daha Sonra Ne Olur?

Veri komisyoncuları sıklıkla sosyal medya verilerini topluyor ve bunları pazarlama da dahil olmak üzere çeşitli amaçlarla üçüncü taraflara satıyor. Ancak siber suçlular, kurbanların gerçek adlarını ve geçerli e-posta adreslerini kullanarak hedefli kimlik avı saldırıları gibi sosyal mühendislik saldırıları gerçekleştirmek için Duolingo kullanıcılarının sızdırılan verilerini kullanabilir.

Etkilenenler, sızdırılan adlar, Duolingo kursunun ilerlemesi ve ülke ayrıntıları sayesinde indirimli dil kursları gibi özelleştirilmiş kimlik avı e-postaları alabilir. Bu e-postalar aynı zamanda öğrenmekte olduğunuz dilin konuşulduğu ülkelere yapılan seyahat davetiyelerini de içerebilir.

Siber suçlular ayrıca Duolingo’yu taklit edebilir ve Duolingo’nun ücretli sürümü veya premium kursu gibi görünen bağlantıların bulunduğu e-postalar gönderebilir. Bu bağlantılara tıklayıp ödeme ayrıntılarınızı girerseniz saldırgan bilgilerinizi çalabilir.

Duolingo Veri İhlaliyle Nasıl Başa Çıkılır?

Web sitelerinden ve uygulamalardan veri kazıma, birçok büyük teknoloji şirketini etkileyen iyi bilinen bir sorundur. Örneğin Nisan 2021’de yaklaşık 500 milyon LinkedIn kullanıcısının verileri kazındı.

Verilerinizin ihlal nedeniyle sızdırıldığından şüpheleniyorsanız bu sorunu çözmek için atabileceğiniz adımlar vardır. Bunlardan biri, HaveIBeenPwned web sitesini ziyaret ederek bilgilerinizin tehlikeye girip girmediğini kontrol etmektir. Bu, ihlal edilen tüm Duolingo verilerinin zaten veritabanında olduğunu iddia ediyor.

Kimlik avını önlemek için e-postaları, özellikle de acil olanları dikkatle inceleyin. Gönderen adreslerini doğrulayın, şüpheli bağlantılara ve eklere tıklamayın ve kimlik avı e-postalarındaki kötü amaçlı yazılımlara karşı gelişmiş koruma sağlamak için virüsten koruma yazılımı yüklemeyi düşünün.

Kimliğe bürünme saldırılarına karşı dikkatli olun ve Duolingo e-postalarda bu tür ayrıntıları istemediğinden, kullanıcı adları ve şifreler gibi hassas bilgileri asla e-posta yoluyla paylaşmayın. Ayrıca satıcının tavsiyelerine uyun, şifrenizi değiştirin ve iki faktörlü kimlik doğrulamayı kurmayı düşünün.

Peki ya Duolingo’nun kullanıcı verilerini korumak için aldığı güvenlik önlemlerinden emin değilseniz? Veya belki de eylemlerinizin etkililiği konusunda şüpheleriniz mi var? Bu durumda diğer dil öğrenme uygulamalarını deneyebilirsiniz.

Verilerinizi Koruyun ve Savunmanızı Güçlendirin

Veri ihlalleri giderek yaygınlaşıyor ve çalınan ayrıntılar, pazarlamadan siber saldırılara ve kimlik avı girişimlerine kadar çeşitli amaçlara hizmet edebiliyor. Şu anda kötü niyetli kişiler, gerçek adları ve e-posta adresleri de dahil olmak üzere birçok Duolingo kullanıcısının bilgilerine erişebilmektedir.

Veri ihlallerini ele almak için kullanıcılar, potansiyel ihlalleri ve kimliğe bürünme girişimlerini nasıl tespit edeceklerini ve kimlik avı saldırılarıyla nasıl mücadele edeceklerini öğrenmek de dahil olmak üzere proaktif adımlar atmalıdır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu