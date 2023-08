O Duolingo , app de ensino de idiomas estrangeiros disponível para Android e iPhone ( iOS ) sofreu um grande vazamento de dados no início do ano e as informações dos usuários foram postas à venda em um portal para hackers. De acordo com o portal Bleeding Computer, criminosos roubaram informações de mais de 2,6 milhões de pessoas, o que já havia sido confirmado pela empresa. O pacote com os dados foi ofertado no site Breached, um dos mais usados para esse tipo de vazamento, por US$ 1.500, algo em volta de R$ 7.300 na cotação atual.

Segundo o Bleeding Computer, informações de login, nomes, telefone, endereço de e-mail e dados no próprio app estavam incluídos no vazamento, o que pode facilitar golpes como o phishing. Em nota, o Duolingo informou que, apesar da divulgação de informações, não há nenhuma indicação de que os sistemas da companhia tenham sido afetados (veja o comunicado completo abaixo). Confira, a seguir, mais detalhes sobre o assunto e veja o que fazer para descobrir se seus dados foram vazados.

Duolingo teve dados dos usuários vazados e vendidos na deepweb — Foto: Helito Beggiora/TechTudo

📝 É possível aprender outros idiomas além de inglês no Duolingo? Descubra no Fórum do TechTudo

O vazamento ocorreu por conta de uma falha na programação de aplicativos (API), que abriu brecha para que o hacker conseguisse um arquivo com os dados de diversas pessoas. É importante mencionar que essa API tem sido divulgada desde março de 2023, com diversas pessoas documentando e ensinando como usar. De acordo com o Beeding Computer, a ferramenta facilita a troca de informações da conta de uma pessoa, além de permitir enviar emails para confirmar a cadastro (ou não) de um usuário. Mesmo que a falha já tenha sido comunicada ao Duolingo, a API ainda está disponível.

A estratégia para conseguir os dados foi detalhada no post feito no Breached, onde o cibercrimoso anuncia as informações e traz uma descrição detalhada sobre o conteúdo do arquivo. Nela, o hacker ainda disponibiliza uma amostra com conteúdo de mil contas vazadas no Duolingo.

No post feito no Breached, o hacker disponibiliza uma amostra com conteúdo de mais de mil contas — Foto: Reprodução/Falcon Feeds

Apesar desse tipo de vazamento não ser tão grave quanto um de dados bancários, é importante ter cautela, uma vez que outros cibercriminosos podem usar as informações para tentar praticar golpes de phishing. Com acesso a dados pessoais como telefone e endereço de email, os golpistas podem realizar abordagens ainda mais convincentes, o que é um grande perigo para os usuários.

Em nota enviada ao TechTudo, a Duolingo informou que está ciente deste relatório e explicou que "os registros foram obtidos por meio da coleta de dados de informações de perfis públicos" e que não há "nenhuma indicação de que os sistemas tenham sido comprometidos".

"Nós levamos a sério a privacidade e a segurança dos dados e continuamos investigando este assunto para determinar se alguma ação adicional é necessária para proteger nossos alunos. Os endereços de e-mail neste incidente foram obtidos de outros sites, não do Duolingo. A API usada neste incidente foi tornada pública intencionalmente para ajudar nossos alunos a encontrar amigos que também usam o Duolingo. Os alunos do Duolingo têm a opção de tornar seus perfis privados se preferirem não ter seus perfis do Duolingo pesquisados publicamente", finaliza o comunicado.

Como saber se você teve dados vazados?

Há diversas formas de descobrir se um usuário já teve seus dados vazados. Uma delas é usando o site Have I Been Pwned? (haveibeenpwned.com). A plataforma consulta dados como endereço de email e telefone em sites utilizados por hackers para troca e venda de dados. Para utilizar, basta acessar a página e pesquisar pelo seu email na barra de busca. Também é possível procurar pelo telefone usando o número em formato internacional (+55 XX). Caso seu email tenha sido vazado, o site oferece um relatório mostrando a quantidade de vezes em que foi usado e as datas em que isso ocorreu.

Também é importante ressaltar que, se um usuário teve seus dados vazados, é necessário mudar as senhas as quais os criminosos têm acesso. Usar softwares de gerenciamento de senhas também é recomendado por especialistas para que isso não aconteça novamente. Outra recomendação importante é ativar a verificação em duas etapas das contas, o que dificulta a acesso dos criminosos.

Com informações de The Record e Bleeding Computer

Veja também: como proteger o iPhone? 6 dicas para evitar golpes e invasões!