Duolingo est le plus grand site Web et application d'apprentissage des langues au monde avec plus de 74 millions d'utilisateurs mensuels. Selon Bleeping Computer, les données personnelles divulguées des utilisateurs de Duolingo permettraient aux pirates de mener des attaques de phishing ciblées.
En janvier 2023, un compte sur un forum de hackers a vendu des données collectées auprès de 2,6 millions d'utilisateurs de Duolingo pour 1 500 dollars, et le forum a depuis été fermé.
Ces données comprennent les identifiants de connexion, les noms réels, ainsi que des informations non publiques, notamment les adresses e-mail et les informations internes liées aux services de Duolingo. Alors que les profils d'utilisateur Duolingo affichent les vrais noms et noms de connexion, les adresses e-mail sont anonymisées.
Une publicité vend 2,6 millions de données d'utilisateurs Duolingo pour 1 500 $
Duolingo a confirmé à TheRecord que les données collectées et vendues provenaient de registres publics, et le service enquête pour savoir s'il aurait dû prendre des précautions. Cependant, Duolingo omet de mentionner le fait que les adresses e-mail sont également répertoriées dans les données.
Les données de 2,6 millions d'utilisateurs ont été publiées hier sur une nouvelle version du forum de hackers pour seulement 2,13 $. Ces données sont collectées à l’aide d’une interface de programmation d’application (API) partagée publiquement à compter de mars 2023.
Cette API Duolingo permet à quiconque de soumettre des demandes d'informations sur le profil public des utilisateurs. Cependant, il est également possible de fournir une adresse e-mail à l'API et de confirmer si cette adresse est associée à un compte Duolingo.
BleepingComputer a déclaré que l'API est restée accessible au public même après que son abus a été signalé à Duolingo en janvier.
Il est possible que le pirate ait introduit des millions d'adresses e-mail - probablement exposées lors de violations de données précédentes - dans l'API pour voir si elles appartenaient à un compte Duolingo. Ces adresses e-mail sont ensuite utilisées pour créer un ensemble de données contenant des informations publiques et non publiques.
Un pirate informatique télécharge à nouveau les données de 2,6 millions d'utilisateurs de Duolingo à un prix très bas
Les entreprises ont tendance à ignorer les données qu’elles collectent, car la plupart d’entre elles sont déjà publiques. Cependant, lorsque des données publiques sont mélangées à des données privées telles que des numéros de téléphone et des adresses e-mail, les informations exposées deviennent plus risquées et potentiellement contraires aux lois sur la protection des données.
En 2021, Facebook a subi une violation massive de données après que son API « Ajouter un ami » a été utilisée de manière abusive pour lier les numéros de téléphone aux comptes Facebook de 533 millions d'utilisateurs. La Commission irlandaise de protection des données (DPC) a infligé une amende de 265 millions d'euros (275,5 millions de dollars) à Facebook pour avoir provoqué cette fuite de données. Un bug récent dans l'API de Twitter a été utilisé pour obtenir des données publiques et des adresses e-mail de millions d'utilisateurs, ce qui a donné lieu à une enquête de la DPC. Duolingo n'a pas encore expliqué pourquoi il a laissé cette API ouverte à tous après avoir reçu des rapports d'abus.
Lien source
Comment (0)