Duolingo est le plus grand site web et application d'apprentissage des langues au monde, avec plus de 74 millions d'utilisateurs mensuels. Selon Bleeping Computer, la fuite de données personnelles des utilisateurs de Duolingo permettrait aux pirates informatiques de mener des attaques de phishing ciblées.
En janvier 2023, un compte sur un forum de hackers a vendu des données collectées auprès de 2,6 millions d'utilisateurs de Duolingo pour 1 500 dollars, et le forum a depuis été fermé.
Ces données comprennent les identifiants de connexion, les noms réels et des informations non publiques, notamment les adresses électroniques et les données internes relatives au service Duolingo. Si les profils utilisateurs de Duolingo affichent publiquement les noms réels et les identifiants de connexion, les adresses électroniques sont anonymisées.
Une annonce propose la vente des données de 2,6 millions d'utilisateurs de Duolingo pour 1 500 $.
Duolingo a confirmé à TheRecord que les données collectées et vendues provenaient de sources publiques et que le service examinait la nécessité de prendre des précautions supplémentaires. Cependant, Duolingo n'a pas précisé que des adresses électroniques figuraient également parmi les données.
Les données de 2,6 millions d'utilisateurs ont été publiées hier sur une nouvelle version du forum de hackers pour seulement 2,13 dollars. Ces données ont été collectées à l'aide d'une interface de programmation d'application (API) partagée publiquement depuis mars 2023.
Cette API Duolingo permet à quiconque de soumettre une requête pour obtenir les informations du profil public d'un utilisateur. Il est également possible de fournir une adresse e-mail à l'API et de vérifier si cette adresse est associée à un compte Duolingo.
BleepingComputer a indiqué que l'API était restée accessible au public même après que son utilisation abusive ait été signalée à Duolingo en janvier.
Il est probable que le pirate ait injecté des millions d'adresses électroniques — possiblement issues de fuites de données antérieures — dans l'API afin de vérifier si elles appartenaient à des comptes Duolingo. Ces adresses électroniques ont ensuite servi à créer un ensemble de données contenant des informations publiques et privées.
Un pirate informatique remet en ligne les données de 2,6 millions d'utilisateurs de Duolingo pour un prix dérisoire.
Les entreprises ont tendance à se débarrasser des données collectées car la plupart sont déjà publiques. Cependant, lorsque des données publiques sont mélangées à des données privées telles que des numéros de téléphone et des adresses électroniques, les informations exposées deviennent plus risquées et peuvent enfreindre les lois sur la protection des données.
En 2021, Facebook a subi une importante fuite de données après que son API « Ajouter un ami » a été détournée pour associer les numéros de téléphone aux comptes Facebook de 533 millions d'utilisateurs. La Commission irlandaise de protection des données (DPC) a infligé à Facebook une amende de 265 millions d'euros (275,5 millions de dollars) pour cette fuite. Plus récemment, une faille dans l'API de Twitter a permis de collecter les données publiques et les adresses électroniques de millions d'utilisateurs, ce qui a entraîné une enquête de la DPC. Duolingo n'a toujours pas expliqué pourquoi son API est restée accessible à tous après les signalements d'abus.
Lien source
![[Photo] Le ginseng de la montagne Dan, un précieux cadeau de la nature au pays Kinh Bac](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F30%2F1764493588163_ndo_br_anh-longform-jpg.webp&w=3840&q=75)
Comment (0)