Aplikasi belajar bahasa ada di mana-mana, dan Duolingo termasuk yang paling besar. Jutaan orang memakainya setiap hari karena cara belajarnya terasa seperti main gim.
Bukan kelas formal yang kaku. Ada poin, level, juga kompetisi ringan dengan teman.
Semua elemen itu dirancang supaya belajar tidak membosankan dan tidak terasa berat. Tujuannya jelas mulia: pendidikan bahasa bisa diakses siapa saja, kapan saja, di mana saja. Gratis dan mudah.
Tapi ada sisi yang sering luput: keamanan data pribadi. Kasus Duolingo jadi pengingat penting.
Pada Agustus 2023 muncul laporan bahwa data 2,6 juta pengguna bocor dan dijual di forum peretas dengan harga murah, sehingga siapa pun bisa membelinya, termasuk yang berniat jahat (BleepingComputer, 2023). Tidak heran banyak pengguna cemas.
Data apa yang bocor? Bukan kata sandi. Bukan juga data kartu kredit. Yang terekspos adalah alamat email, nama pengguna, nama asli, serta bahasa yang sedang dipelajari (The Verge, 2023).
Di mata sebagian orang, ini terlihat remeh. Padahal di tangan yang salah, data seperti ini bisa dipakai untuk serangan phishing yang sangat meyakinkan.
Email palsu bisa tampak resmi dari Duolingo karena pelaku tahu detail belajar kita (The Hacker News, 2023).
Duolingo lalu memberi konfirmasi. Mereka menyebut server utama tidak diretas.
Masalahnya berasal dari sebuah API publik yang memang dibuat lebih terbuka agar aplikasi lain bisa mengakses data kemajuan belajar, misalnya untuk papan peringkat (Cyber Security Hub, 2023).
Celah itulah yang dieksploitasi, dan data akun dikumpulkan sejak Januari 2023. Perusahaan menutup celah tersebut dan menyebut tindakannya cepat.
