У папулярнай праграме для вывучэння моў Duolingo знайшлі небяспечны недахоп
Ён дазваляе атрымаць шмат звестак пра любога карыстальніка па яго email.
12.04.2023 / 19:50
Сайт Duolingo. Скрыншот Ade Oshineye / Flickr
На гэта слабое месца праграмы звярнулі ўвагу яшчэ ў лютым, калі ў продажы з'явіліся звесткі мільёнаў карыстальнікаў платформы, а нядаўна з'явіўся рэпазіторый на Github, які спрашчае іх выкарыстанне.
Прыклад выкарыстання скрыпта на Github. Фота: тэлеграм-каналы
Сутнасць у тым, што калі вы адкрыеце спасылку https://www.duolingo.com/2017-06-30/users?email=*электронная пошта карыстальніка*, то атрымаеце наступныя звесткі пра яго:
- юзернэйм і імя, якія ён указаў;
- краіну, якую ён пазначыў у профілі;
- дату рэгістрацыі акаўнта;
- ці прывязаны Facebook або Google ID да Duolingo;
- ці прывязаны нумар тэлефона да старонкі;
- якія мовы вывучае і наколькі далёка прасунуўся;
- якую мову вывучае цяпер;
- ці быў анлайн апошнім часам;
- колькі дзён запар займаецца;
- для некаторых карыстальнікаў — можа паказаць, што яны карыстаюцца айфонам;
- шэраг службовых нататак, да прыкладу, ці мае чалавек правы мадэратара або з'яўляецца «глабальным амбасадорам Duolingo».
Чым небяспечныя звесткі, якія дае гэта недасканаласць Duolingo?
Па-першае, гэта проста сведчанне таго, што кампанія, якая валодае Duolingo, слаба клапоціцца пра персанальныя звесткі карыстальнікаў. Праз месяцы пасля таго, як пра недахоп стала вядома, яго не выправілі — невядома, якія яшчэ сюрпрызы і недасканаласці могуць чакаць наперадзе.
Па-другое, бадай, галоўная небяспека — ведаючы толькі email, можна даведацца даволі шмат пра любога карыстальніка сэрвісу. Да прыкладу, гэта магчымасць вызначыць лакалізацыю чалавека і даведацца ягоны нікнэйм. У сэрвісах накшталт Duolingo людзі рэдка задумваюцца пра бяспеку сваіх звестак, а веданне гэтай інфармацыі можа вельмі шмат сказаць пра чалавека.
Што рабіць, каб абараніцца ад такіх уцечак?
Пазначайце ва ўсіх сэрвісах як мага менш вашых праўдзівых звестак і не звязвайце іх з іншымі сэрвісамі. Да прыкладу, замест рэальнага імя пазначце выдуманае, а ў якасці імя карыстальніка абярыце нешта зусім не звязанае з вамі. Таксама не пазначайце сапраўдную краіну пражывання.
Майце хаця б два імэйлы — адзін для перапіскі і іншых больш важных спраў, а другі — для рэгістрацыі ў розных сэрвісах. Другі мусіць быць максімальна адвязаны ад вашай асобы, тады ў выпадку «зліву» стане даступны толькі ваш «забаўляльны» email, па якім будзе складана вас адшукаць.
Чытайце таксама:
Як зарэгістраваць ананімныя акаўнты ў Telegram, сацсетках і іншых месенджарах — падрабязны гайд