Duolingo est le plus grand site web et application d'apprentissage des langues au monde , avec plus de 74 millions d'utilisateurs mensuels. Selon Bleeping Computer, la fuite des données personnelles des utilisateurs de Duolingo pourrait permettre aux pirates informatiques de mener des attaques de phishing ciblées.
En janvier 2023, un compte sur un forum de hackers a vendu des données collectées auprès de 2,6 millions d'utilisateurs de Duolingo pour 1 500 dollars ; le forum a depuis cessé ses activités.
Ces données comprennent les informations de connexion, les noms réels, ainsi que des informations non publiques, notamment les adresses e-mail et des données internes relatives au service Duolingo. Si les profils utilisateurs de Duolingo affichent publiquement les noms réels et les identifiants de connexion, les adresses e-mail restent privées.
L'annonce proposait de vendre 2,6 millions d'enregistrements de données d'utilisateurs de Duolingo pour 1 500 dollars.
Duolingo a confirmé à TheRecord que les données collectées et vendues provenaient de profils publics et que le service examinait la nécessité de prendre des mesures préventives. Cependant, Duolingo n'a pas mentionné que des adresses électroniques figuraient également parmi les données.
Les données de 2,6 millions d'utilisateurs ont été mises en ligne hier sur une nouvelle version du forum de hackers pour seulement 2,13 dollars. Ces données ont été collectées depuis mars 2023 via une interface de programmation d'application (API) publique.
Cette API Duolingo permet de soumettre des demandes d'accès aux informations de profil public des utilisateurs. Il est également possible de fournir une adresse e-mail à l'API et de vérifier si cette adresse est liée à un compte Duolingo.
BleepingComputer a indiqué que cette API restait accessible au public même après que son utilisation abusive ait été signalée à Duolingo en janvier.
Il est possible que le pirate ait utilisé des millions d'adresses électroniques — probablement issues de fuites de données antérieures — dans l'API pour vérifier si elles appartenaient à des comptes Duolingo. Ces adresses ont ensuite servi à créer un ensemble de données contenant des informations publiques et privées.
Des pirates informatiques ont remis en ligne les données de 2,6 millions d'utilisateurs de Duolingo pour un prix dérisoire.
Les entreprises ont tendance à ignorer les données collectées, car la plupart sont déjà accessibles au public. Cependant, lorsque des données publiques sont mélangées à des données privées telles que des numéros de téléphone et des adresses électroniques, le risque de fuite d'informations augmente et peut constituer une violation des lois sur la protection des données.
En 2021, Facebook a subi une fuite massive de données après que son API « Ajouter un ami » a été détournée pour associer les numéros de téléphone aux comptes Facebook de 533 millions d'utilisateurs. La Commission irlandaise de protection des données (DPC) a infligé à Facebook une amende de 265 millions d'euros (275,5 millions de dollars) pour cette fuite. Plus récemment, une faille dans l'API de Twitter a permis d'accéder aux données publiques et aux adresses électroniques de millions d'utilisateurs, ce qui a entraîné une enquête de la DPC. Duolingo n'a toujours pas expliqué pourquoi cette API est restée accessible au public malgré les signalements d'utilisation abusive.
Lien source
![[Image] Le beau temps aide les élèves à aborder l'examen d'entrée en seconde avec confiance.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780034401612_ngay-1-thi-lop-10-minh-duy-8-5009-jpg.webp)
![[Photo] Phare de Ba Lang An - « l'œil de la mer » au milieu du « musée de la roche » de la province de Quang Ngai.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/29/1780038698840_anh-man-hinh-2026-05-29-luc-14-10-42.png)
Comment (0)