画像: Duolingo
語学学習サイト「Duolingo」のユーザーは、今まさに痛切な教訓を思い起こさなければなりません。一度個人情報をウェブ上に公開したら、取り戻すことはできません。さらに悪いことに、自分自身について共有する情報が多いほど、標的型フィッシング攻撃への警戒は強まります。
Bleeping Computerによると、約260万のアカウントが直接影響を受けています。公開されているアプリケーション・プログラミング・インターフェース(API)を通じて、これらのアカウントから公開データと非公開データがスクレイピングされ、1月にハッキングフォーラムで公開されました。ログイン名、実名、メールアドレス、電話番号、受講コースなどが収集され、1,500ドルで売却されました。しかし今、これらのデータは別のフォーラムで、わずか数ドルという大幅に低い価格で再び公開されました。
これらのユーザー詳細情報を取得したAPIも、現在も公開されています。ユーザー名クエリは公開プロフィール情報を取得しますが、メールアドレス(別のデータ侵害やスクレイピングされたデータ収集によって取得されたものなど)を送信すると、プロフィール画像、位置情報、FacebookまたはGoogleアカウントとの連携の有無といった個人情報が漏洩し、研究者の調査で判明しました。これらのデータは、詐欺師やハッカーがより巧妙なフィッシング攻撃を仕掛ける際に活用される可能性があります。
ブリーピングコンピューター
残念ながら、Duolingoユーザーはこのサービスから十分な保護を期待できません。このデータが初めて公開された際、同社はThe Recordへの声明の中で、失われたデータは「公開プロフィール情報」であると説明しました。また、APIがなぜ依然として公開されているのかというBleeping Computerからの最近の質問にも、まだ回答していません。
では、どうすればいいのでしょうか?まず第一に、普段からオンラインセキュリティ対策を徹底しましょう。特に、知らない送信者からのメールはできるだけ開かないようにし、リンクをクリックしたりファイルをダウンロードしたりしないようにしましょう(テキストメッセージも同様です)。ウェブサイトやアプリごとに、それぞれ異なる強力なパスワードを設定し、安全なパスワードマネージャーに保存しましょう。
オンラインプロフィールを匿名化することもできます。実名を削除し、GoogleとFacebookのアカウントを切断し、一般的なアバター画像をアップロードしましょう。また、メールアドレスをマスク(または少なくとも、趣味のサービスやメーリングリスト専用の2つ目のメールアドレス)にすることも検討してください。こうすることで、本物のメールとフィッシング詐欺の見分けが少し楽になります。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
