У папулярнай праграме для вывучэння моў Duolingo знайшлі небяспечны недахоп 1

Сайт Duolingo. Скрыншот Ade Oshineye / Flickr

На гэта слабое месца праграмы звярнулі ўвагу яшчэ ў лютым, калі ў продажы з'явіліся звесткі мільёнаў карыстальнікаў платформы, а нядаўна з'явіўся рэпазіторый на Github, які спрашчае іх выкарыстанне.

Прыклад выкарыстання скрыпта на Github. Фота: тэлеграм-каналы

Сутнасць у тым, што калі вы адкрыеце спасылку https://www.duolingo.com/2017-06-30/users?email=*электронная пошта карыстальніка*, то атрымаеце наступныя звесткі пра яго:

• юзернэйм і імя, якія ён указаў;
• краіну, якую ён пазначыў у профілі;
• дату рэгістрацыі акаўнта;
• ці прывязаны Facebook або Google ID да Duolingo;
• ці прывязаны нумар тэлефона да старонкі;
• якія мовы вывучае і наколькі далёка прасунуўся;
• якую мову вывучае цяпер;
• ці быў анлайн апошнім часам;
• колькі дзён запар займаецца;
• для некаторых карыстальнікаў — можа паказаць, што яны карыстаюцца айфонам;
• шэраг службовых нататак, да прыкладу, ці мае чалавек правы мадэратара або з'яўляецца «глабальным амбасадорам Duolingo».

Чым небяспечныя звесткі, якія дае гэта недасканаласць Duolingo?

Па-першае, гэта проста сведчанне таго, што кампанія, якая валодае Duolingo, слаба клапоціцца пра персанальныя звесткі карыстальнікаў. Праз месяцы пасля таго, як пра недахоп стала вядома, яго не выправілі — невядома, якія яшчэ сюрпрызы і недасканаласці могуць чакаць наперадзе.

Па-другое, бадай, галоўная небяспека — ведаючы толькі email, можна даведацца даволі шмат пра любога карыстальніка сэрвісу. Да прыкладу, гэта магчымасць вызначыць лакалізацыю чалавека і даведацца ягоны нікнэйм. У сэрвісах накшталт Duolingo людзі рэдка задумваюцца пра бяспеку сваіх звестак, а веданне гэтай інфармацыі можа вельмі шмат сказаць пра чалавека.

Што рабіць, каб абараніцца ад такіх уцечак?

Пазначайце ва ўсіх сэрвісах як мага менш вашых праўдзівых звестак і не звязвайце іх з іншымі сэрвісамі. Да прыкладу, замест рэальнага імя пазначце выдуманае, а ў якасці імя карыстальніка абярыце нешта зусім не звязанае з вамі. Таксама не пазначайце сапраўдную краіну пражывання.

Майце хаця б два імэйлы: адзін для перапіскі і іншых больш важных спраў, а другі — для рэгістрацыі ў розных сэрвісах. Другі мусіць быць максімальна адвязаны ад вашай асобы, тады ў выпадку «зліву» стане даступны толькі ваш «забаўляльны» email, па якім будзе складана вас адшукаць.

Чытайце таксама:

Як зарэгістраваць ананімныя акаўнты ў Telegram, сацсетках і іншых месенджарах — падрабязны гайд

Скандал з Twitter: хакеры заявілі, што завалодалі данымі 400 мільёнаў карыстальнікаў. Чым гэта пагражае беларусам і што рабіць?

З'явілася інфармацыя пра ўзлом абароненага месенджара Signal. Якую інфармацыю атрымалі хакеры і як абараніцца ад такога ўзлому?

Nashaniva.com

Хочаш падзяліцца важнай інфармацыяй ананімна і канфідэнцыйна? Пішыце рэдактару «Нашай Нівы» ў ТГ