Face à l’augmentation des délits liés à la cybersécurité, il est devenu très important pour les organisations de recourir à des mesures strictes de protection des données afin de garantir la sécurité et la confidentialité des données des utilisateurs. Cependant, quelle que soit la prudence des organisations, les acteurs malveillants trouvent d’une manière ou d’une autre une brèche dans la sécurité afin d’extraire des données sensibles. La semaine dernière, une application tierce pour Discord, Discord.io, a subi une violation de données, ce qui a entraîné sa fermeture temporaire. Et maintenant, la populaire application d’apprentissage des langues Duolingo a été victime d’une violation de données. Continuez à lire pour savoir à quelles données Duolingo les pirates ont accès et ce que l’entreprise fait à ce sujet.
Fuite des données des utilisateurs de Duolingo en ligne
Selon un message X (tweeté précédemment) réalisé par @vx-underground, un acteur malveillant a extrait 2,6 millions de données utilisateur Duolingo récupérées et les a publiées sur une nouvelle version du populaire forum de piratage Breached. La violation a été confirmée par BipOrdinateur dans un article de blog récent. Et le pire, c’est que ces données ont été mises à disposition sur le forum pour 8 crédits du site, d’une valeur de seulement 2,13 $, ce qui n’est pratiquement rien.
Ces données ont été collectées par manipuler un bug existant dans l’API Duolingo qui a permis à l’acteur malveillant d’obtenir des informations personnelles sur l’utilisateur telles que son identifiant de messagerie, ses coordonnées, ses adresses et bien plus encore, en envoyant un e-mail valide à l’API.
Le pirate informatique a pu vérifier les utilisateurs actifs de Duolingo en transmettant des millions d’adresses e-mail à l’API vulnérable. Les identifiants de messagerie vérifiés ont ensuite été utilisés par le pirate informatique pour créer un ensemble de données contenant des informations publiques et non publiques. Alternativement, il est également possible de transmettre un nom d’utilisateur à l’API pour récupérer la sortie JSONcontenant des données utilisateur sensibles.
Cependant, ce n’est pas la première fois que ces données apparaissent en ligne. En janvier, Alimentation des faucons a mis en lumière ce problème via un post X. La base de données récupérée a été publiée sur l’ancienne version du forum de piratage Breached pour 1 500 $. Les données exposées contenaient des informations personnelles sur les utilisateurs telles que leurs adresses e-mail, leurs numéros de téléphone, leurs photos, leurs paramètres de confidentialité et bien plus encore.
Duolingo a reconnu ce problème L’enregistrement à l’époque et a assuré à tout le monde que c’était enquêter sur l’affaire. Cependant, la plateforme n’a pas tenu compte du fait que des informations privées telles que les adresses e-mail faisaient également partie des données supprimées.
Maintenant, la partie la plus préoccupante de cette question est que le L’API infectée est toujours ouvertement disponible à tout le monde sur le Web, même si ce problème a attiré l’attention de Duolingo en janvier. Et malheureusement, cela n’a rien de surprenant. Les entreprises ont souvent tendance à négliger leurs données récupérées, car elles contiennent pour la plupart des informations déjà publiques et ne sont pas les plus faciles à compiler pour constituer une menace crédible.
Cependant, dans le cas de Duolingo, cela les données récupérées contenaient également des informations utilisateur sensibles, non disponible publiquement. Pour l’instant, nous ne pouvons qu’attendre que Duolingo résolve ce problème en priorité. Et si vos données font partie de celles divulguées, tout ce que vous pouvez faire est de modifier vos informations d’identification et/ou de supprimer votre compte Duolingo.
