Duolingo est le plus grand site web et application d'apprentissage des langues au monde , avec plus de 74 millions d'utilisateurs mensuels. Selon Bleeping Computer, la fuite des données personnelles des utilisateurs de Duolingo permettrait aux pirates de lancer des attaques de phishing ciblées.
En janvier 2023, un compte sur un forum de hackers a vendu des données collectées auprès de 2,6 millions d'utilisateurs de Duolingo pour 1 500 dollars, et le forum a depuis été fermé.
Ces données comprennent les identifiants de connexion, les noms réels et les informations non publiques, notamment les adresses e-mail et les informations internes liées au service Duolingo. Bien que les profils utilisateur Duolingo affichent publiquement les noms réels et les identifiants de connexion, les adresses e-mail sont anonymisées.
Une publicité vend 2,6 millions de données d'utilisateurs Duolingo pour 1 500 $
Duolingo a confirmé à TheRecord que les données collectées et vendues provenaient de registres publics et que le service étudiait la possibilité de prendre des précautions supplémentaires. Cependant, Duolingo n'a pas précisé que les adresses e-mail figuraient également dans les données.
Les données de 2,6 millions d'utilisateurs ont été publiées hier sur une nouvelle version du forum de hackers pour seulement 2,13 $. Ces données ont été collectées via une interface de programmation d'application (API) partagée publiquement depuis mars 2023.
Cette API Duolingo permet à chacun de soumettre une demande pour récupérer les informations du profil public d'un utilisateur. Il est également possible de fournir une adresse e-mail à l'API et de confirmer si cette adresse est associée à un compte Duolingo.
BleepingComputer a déclaré que l'API est restée accessible au public même après que son abus a été signalé à Duolingo en janvier.
Il est possible que le pirate ait introduit des millions d'adresses e-mail, probablement exposées lors de précédentes violations de données, dans l'API pour vérifier si elles appartenaient à des comptes Duolingo. Ces adresses e-mail ont ensuite été utilisées pour créer un ensemble de données contenant des informations publiques et privées.
Un pirate informatique télécharge à nouveau les données de 2,6 millions d'utilisateurs de Duolingo à un prix très bas
Les entreprises ont tendance à supprimer les données collectées, car la plupart d'entre elles sont déjà publiques. Cependant, lorsque des données publiques sont mélangées à des données privées telles que des numéros de téléphone et des adresses e-mail, les informations exposées sont plus risquées et constituent potentiellement une violation des lois sur la protection des données.
En 2021, Facebook a subi une fuite de données massive après que son API « Ajouter un ami » a été utilisée abusivement pour relier les numéros de téléphone aux comptes Facebook de 533 millions d'utilisateurs. La Commission irlandaise de protection des données (DPC) a infligé une amende de 265 millions d'euros (275,5 millions de dollars) à Facebook pour avoir provoqué cette fuite. Un bug récent dans l'API de Twitter a permis d'extraire les données publiques et les adresses e-mail de millions d'utilisateurs, ce qui a donné lieu à une enquête de la DPC. Duolingo n'a pas encore expliqué pourquoi il avait laissé l'API ouverte à tous après avoir reçu des signalements d'abus.
Lien source
![[Infographie] Circulaire guidant les fonctions, les tâches et les pouvoirs du Département provincial de la culture, des sports et du tourisme et du Département communal de la culture et des affaires sociales](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/6/29/877f24989bb946358f33a80e4a4f4ef5)
Comment (0)