В популярной программе для изучения языков Duolingo нашли опасный недостаток
Он позволяет получить много сведений о любом пользователе по его email.
12.04.2023 / 21:14
Сайт Duolingo. Скриншот Ade Oshineye / Flickr
На это слабое место программы обратили внимание еще в феврале, когда в продаже появились данные миллионов пользователей платформы, а недавно появился репозиторий на Github, упрощающий их использование.
Пример использования скрипта на Github. Фото: телеграм-каналы
Суть в том, что если вы откроете ссылку https://www.duolingo.com/2017-06-30/users?email = *электронная почта пользователя*, то получите следующие сведения о нем:
- юзернейм и имя, которые он указал;
- страну, которую он указал в профиле;
- дату регистрации аккаунта;
- привязан ли Facebook или Google ID к Duolingo;
- привязан ли номер телефона к странице;
- какие языки изучает и насколько далеко продвинулся;
- какой язык сейчас изучает;
- был ли онлайн в последнее время;
- сколько дней подряд занимается;
- для некоторых пользователей — может показать, что они пользуются айфоном;
- ряд служебных заметок, к примеру, имеет ли человек права модератора или является «глобальным послом Duolingo».
Чем опасны сведения, которые дает это несовершенство Duolingo?
Во-первых, это просто свидетельство того, что компания, владеющая Duolingo, слабо заботится о персональных данных пользователей. Спустя месяцы после того, как о недостатке стало известно, его не исправили — неизвестно, какие еще сюрпризы и несовершенства могут ждать впереди.
Во-вторых, пожалуй, главная опасность — зная только email, можно узнать довольно много о любом пользователе сервиса. К примеру, это возможность определить локализацию человека и узнать его никнейм. В сервисах вроде Duolingo люди редко задумываются о безопасности своих сведений, а знание этой информации может очень много сказать о человеке.
Что делать, чтобы защититься от таких утечек?
Помечайте во всех сервисах как можно меньше ваших правдивых сведений и не связывайте их с другими сервисами. К примеру, вместо реального имени укажите вымышленное, а в качестве имени пользователя выберите что-то совершенно не связанное с вами. Также не обозначайте настоящую страну проживания.
Имейте хотя бы два имейла: один для переписки и других более важных дел, а другой — для регистрации в различных сервисах. Второй должен быть максимально отвязан от вашей личности, тогда в случае «слива» станет доступен только ваш «развлекательный» email, по которому будет сложно вас отыскать.
Читайте также:
Как зарегистрировать анонимные аккаунты в Telegram, соцсетях и других мессенджерах — подробный гайд