Duolingo: Platform Belajar Bahasa, tapi Risikonya Kebocoran Data

tirto.id - Pada awal dekade 2010-an, dua profesor dari Carnegie Mellon University, Luis von Ahn dan Severin Hacker, memulai sebuah inisiatif yang berangkat dari ide sederhana: belajar bahasa itu semestinya gratis, menyenangkan, dan bisa dilakukan oleh siapa pun dan di mana pun.

Inisiatif tersebut berbuah hasil pada 2012 ketika mereka resmi meluncurkan sebuah platform pembelajaran bernama Duolingo.

Perjalanan Duolingo dari eksperimen kecil menjadi raksasa teknologi pendidikan tidak hanya ditopang oleh kurikulum yang luas, tetapi juga pendekatan belajar layaknya bermain gim.

Sistem poin XP, pelacakan streak harian, karakter animasi seperti Duo si burung hantu hijau, hingga pelajaran singkat yang bisa diselesaikan di sela-sela aktivitas sehari-hari, semua dirancang untuk mempertahankan motivasi pengguna.

Hasilnya? Jenama Duolingo identik dengan pembelajaran bahasa baru. Makin berjalannya waktu, jumlah penggunanya pun terus meningkat.

Pada kuartal pertama (Q1) 2025, Duolingo mencatat lebih dari 130 juta pengguna aktif bulanan dan sekitar 46 juta pengguna harian. Di dalamnya, ada sekitar 10,3 juta pengguna yang menggunakan fitur berlangganan. Jika dibandingkan dengan pencapaian pada akhir 2024, menurut laporan Investor's Business Daily, angka yang dimiliki Duolingo pada Q1 2025 itu menunjukkan kenaikan signifikan.

Kini, Duolingo tidak hanya menawarkan bahasa-bahasa populer seperti Inggris, Spanyol, dan Jepang, tetapi juga 100+ kursus mencakup 40+ bahasa, termasuk bahasa fiktif seperti High Valyrian dan Klingon. Belakangan, mereka bahkan menambah pelajaran non-bahasa macam matematika, musik, bahkan catur.

Ketika Data para Pembelajar Dibobol

Popularitas Duolingo yang meroket membawa manfaat besar bagi jutaan pengguna, tetapi juga menimbulkan risiko yang jarang disadari. Pada Januari 2023, misalnya, komunitas keamanan siber mendapati bahwa data pribadi sekitar 2,6 juta pemilik akun Duolingo dijual di forum peretas.

Menurut laporan Cyber Security Hub, data-data tersebut didapatkan tanpa proses peretasan ke server utama. Para pencuri data hanya menggunakan API publik yang disediakan Duolingo untuk menampilkan kemajuan belajar di aplikasi pihak ketiga.

API, atau Application Programming Interface, adalah semacam gerbang digital yang memungkinkan dua aplikasi saling bertukar data. Masalahnya, API publik Duolingo saat itu tidak membatasi informasi yang dapat diambil. Cukup memasukkan alamat pos-el atau nama pengguna, siapa pun bisa mendapatkan detail profil pengguna dalam format JSON yang rapi. Dengan memanfaatkan daftar pos-el hasil kebocoran sebelumnya, pelaku mengunduh data jutaan akun dalam waktu singkat.

Data yang dicuri tidak hanya berupa informasi yang sudah terlihat publik, tetapi juga detail semi-pribadi seperti alamat pos-el, nama pengguna, nama asli, bahasa yang sedang dipelajari, jumlah XP, panjang streak, foto profil, hingga petunjuk lokasi.

Berbagai informasi tersebut kemudian dijual di forum peretas dengan harga bervariasi. Awalnya, data-data itu ditawarkan seharga 1.500 dolar AS, lalu turun menjadi hanya 2 dolar AS di forum lain seperti Breached. Bahkan, sebagian sampelnya dibagikan gratis.

Bagi pengguna, kebocoran ini mungkin awalnya terdengar sepele. Akan tetapi, di tangan yang salah, data-data tersebut bisa menjadi senjata untuk menimbulkan kerugian besar. Alamat pos-el yang dipadukan dengan informasi pembelajaran dapat digunakan untuk membuat serangan phishing yang lebih meyakinkan, misalnya lewat email palsu yang menyebutkan jumlah XP atau bahasa yang sedang dipelajari.

Tersebarnya data nama pengguna juga membuka lebar risiko doksing serta pelecehan daring. Lantas, jika kata sandi yang digunakan di Duolingo digunakan di platform lain, peluang credential stuffing meningkat. Ini memungkinkan peretas masuk ke akun-akun berbeda milik korban.

Apabila data yang tampak sepele saja bisa menjadi pintu untuk memeras atau memperlakukan korban, bisa dibayangkan hal yang bisa terjadi jika data-data itu dikombinasikan dengan informasi pribadi dari sumber lain.

Gerak Cepat Penyedia Platform

Tak butuh waktu lama sejak laporan tentang kebocoran data mulai beredar di komunitas keamanan siber, Duolingo langsung mengonfirmasi bahwa server inti mereka tidak diretas, melainkan karena penyalahgunaan API publik.

Sebagai bentuk respons, mereka segera menutup celah yang ada dengan membatasi akses API agar hanya bisa digunakan oleh aplikasi resmi dan mitra terverifikasi.

Langkah tersebut juga disertai dengan audit internal sistem keamanan untuk memastikan tidak ada celah lain yang bisa dimanfaatkan. Duolingo juga memperbarui kebijakan keamanan datanya, memperkuat rate limiting pada API, dan menambahkan mekanisme verifikasi tambahan sebelum data pengguna dapat diakses oleh pihak ketiga.

Selain perubahan teknis, Duolingo mulai mengubah protokol respons insidennya. Proses pemberitahuan kepada publik dan pihak berwenang kini dirancang agar lebih cepat dan transparan jika terjadi masalah serupa di masa depan. Perusahaan juga memperluas kampanye edukasi keamanan digital kepada penggunanya melalui pos-el dan in-app notification, termasuk dengan memberikan panduan singkat tentang cara melindungi akun dari serangan phishing atau percobaan peretasan.

Apa yang Bisa Dilakukan Pengguna

Meski Duolingo telah menutup celah API dan memperketat keamanan, risiko dari data yang sudah telanjur bocor tidak hilang begitu saja. Artinya, pengguna masih perlu mengambil langkah proaktif untuk melindungi diri.

Langkah pertama adalah mengubah profil menjadi privat sehingga informasi publik, seperti nama pengguna, foto, atau pencapaian, tidak bisa di-scrape lagi. Panduan pengaturannya dapat diakses langsung di pusat bantuan Duolingo.

Kedua, gunakan kata sandi unik dan kuat untuk setiap layanan. Data yang bocor sering dimanfaatkan untuk serangan credential stuffing. Pelaku mencoba kombinasi pos-el dan sandi yang sama di berbagai platform.

Ketiga, jika memungkinkan, aktifkan autentikasi dua faktor (2FA). Memang, Duolingo belum menyediakan 2FA bawaan. Namun demikian, pengguna dapat mengamankan pos-el yang terhubung dengan 2FA agar peretas tidak bisa masuk lewat pintu belakang.

Terakhir, tetap waspada terhadap kiriman pos-el atau pesan mencurigakan yang mengaku dari Duolingo atau layanan lain. Peretas sering memanfaatkan informasi bocor untuk membuat phishing yang meyakinkan, lengkap dengan nama pengguna atau detail kemajuan belajar. Jika ada keraguan, selalu verifikasi langsung melalui situs resmi atau aplikasi Duolingo.

Dengan langkah-langkah ini, kita tidak hanya meminimalkan risiko dari insiden kebocoran data, tetapi juga membangun kebiasaan keamanan digital yang lebih kuat untuk jangka panjang. Hal yang terjadi pada Duolingo jelas bukan yang pertama dan tidak akan jadi yang terakhir. Di rimba digital, yang bisa menyelamatkan kita adalah diri kita sendiri.