Duolingo est le plus grand site web et application d'apprentissage des langues au monde , avec plus de 74 millions d'utilisateurs mensuels. Selon Bleeping Computer, la fuite des données personnelles des utilisateurs de Duolingo permettrait aux pirates de mener des attaques d'hameçonnage ciblées.
En janvier 2023, un compte sur un forum de hackers a vendu des données collectées auprès de 2,6 millions d'utilisateurs de Duolingo pour 1 500 dollars, et le forum a depuis été fermé.
Ces données comprennent les identifiants de connexion, les noms réels et les informations non publiques, notamment les adresses e-mail et les informations internes liées au service Duolingo. Bien que les profils utilisateur Duolingo affichent publiquement les noms réels et les identifiants de connexion, les adresses e-mail sont anonymisées.
Publicité vendant 2,6 millions de données d'utilisateurs Duolingo pour 1 500 $
Duolingo a confirmé à TheRecord que les données collectées et vendues provenaient de registres publics et que le service étudiait la possibilité de prendre des précautions supplémentaires. Cependant, Duolingo n'a pas précisé que des adresses e-mail étaient également répertoriées dans les données.
Les données de 2,6 millions d'utilisateurs ont été publiées hier sur une nouvelle version du forum de hackers pour seulement 2,13 $. Ces données ont été collectées via une interface de programmation d'application (API) partagée publiquement depuis mars 2023.
Cette API Duolingo permet à chacun de demander les informations du profil public d'un utilisateur. Il est également possible de fournir une adresse e-mail à l'API et de vérifier si cette adresse est associée à un compte Duolingo.
BleepingComputer a déclaré que l'API est restée accessible au public même après que son abus a été signalé à Duolingo en janvier.
Il est probable que le pirate ait introduit des millions d'adresses e-mail, potentiellement exposées lors de précédentes violations de données, dans l'API pour vérifier si elles appartenaient à des comptes Duolingo. Ces adresses e-mail ont ensuite été utilisées pour créer un ensemble de données contenant des informations publiques et privées.
Un pirate informatique télécharge à nouveau les données de 2,6 millions d'utilisateurs de Duolingo à un prix très bas
Les entreprises ont tendance à supprimer les données collectées, car la plupart sont déjà publiques. Cependant, lorsque des données publiques sont mélangées à des données privées telles que des numéros de téléphone et des adresses e-mail, les informations exposées sont plus risquées et constituent potentiellement une violation des lois sur la protection des données.
En 2021, Facebook a subi une fuite de données massive après que son API « Ajouter un ami » a été utilisée abusivement pour relier les numéros de téléphone aux comptes Facebook de 533 millions d'utilisateurs. La Commission irlandaise de protection des données (DPC) a infligé une amende de 265 millions d'euros (275,5 millions de dollars) à Facebook pour avoir provoqué cette fuite de données. Un bug récent dans l'API de Twitter a permis de récupérer les données publiques et les adresses e-mail de millions d'utilisateurs, ce qui a donné lieu à une enquête de la DPC. Duolingo n'a pas encore expliqué pourquoi il a laissé son API ouverte à tous après des signalements d'abus.
Lien source
Comment (0)