Avec l’augmentation des crimes de cybersécurité, il est devenu très important pour les organisations d’employer des mesures strictes de protection des données pour garantir la sécurité et la confidentialité des données des utilisateurs. Cependant, quelles que soient les précautions prises par les organisations, les acteurs malveillants trouvent un moyen ou un autre d’enfreindre la sécurité pour extraire des données sensibles.
La semaine dernière, une application tierce pour Discord, Discord.io, a été victime d’une violation de données, ce qui a entraîné sa fermeture temporaire. Aujourd’hui, c’est au tour de la célèbre application d’apprentissage des langues Duolingo d’être victime d’une violation de données.
Selon un post sur X (anciennement tweet) de @vx-underground, un acteur malveillant a extrait 2,6 millions de données d’utilisateurs de Duolingo et les a publiées sur une nouvelle version du célèbre forum de piratage Breached. L’intrusion a été confirmée par BleepingComputer dans un récent article de blog. Et le pire, c’est que ces données ont été mises à disposition sur le forum pour 8 crédits de site, d’une valeur de seulement 2,13 dollars, ce qui n’est pratiquement rien.
A Threat Actor identified a bug in the Duolingo API. Sending a valid email to the API returns generic account information on the user (name, email, languages studied).
They used an email list to assemble over 2.6m unique entries.
This will be used for doxxing.
— vx-underground (@vxunderground) August 21, 2023
Ces données ont été recueillies en manipulant un bug existant dans l’API de Duolingo, qui a permis au hacker d’obtenir des informations personnelles sur les utilisateurs, telles que leur adresse électronique, leurs coordonnées, leurs adresses et bien plus encore, en envoyant un e-mail valide à l’API.
Le pirate a pu vérifier les utilisateurs actifs de Duolingo en envoyant des millions d’adresses électroniques à la vulnérable API. Les adresses électroniques vérifiées ont ensuite été utilisées par le pirate pour créer un ensemble de données contenant à la fois des informations publiques et non publiques. Il est également possible d’introduire un nom d’utilisateur dans l’API pour récupérer des données JSON contenant des informations sensibles sur l’utilisateur.
Encore une brèche
Toutefois, ce n’est pas la première fois que ces données apparaissent en ligne. En janvier dernier, Falcon Feeds a fait la lumière sur ce problème par le biais d’un message sur X. La base de données récupérée a été publiée sur l’ancienne version du forum de piratage Breached pour 1 500 dollars. Les données exposées contenaient des informations personnelles sur les utilisateurs, telles que leurs e-mails, leurs numéros de téléphone, leurs photos, leurs paramètres de confidentialité et bien d’autres choses encore.
The DuoLingo database (scraped) has been listed for sale in a hacker’s forum. According to the user, the claimed data contains 2.6 million account entries.#databreach #cyberrisk pic.twitter.com/7jttRnncpM
— FalconFeedsio (@FalconFeedsio) January 24, 2023
À l’époque, Duolingo a reconnu le problème auprès de TheRecord et a assuré à tout le monde qu’elle enquêtait sur la question. Cependant, la plateforme n’a pas remarqué que des informations privées telles que les adresses électroniques faisaient également partie des données supprimées.
Le plus inquiétant dans cette affaire, c’est que l’API infectée est toujours accessible à tout le monde sur le Web, même si ce problème a attiré l’attention de Duolingo en janvier dernier. Malheureusement, cela n’a rien de surprenant. Les entreprises ont souvent tendance à négliger leurs données récupérées, car elles contiennent généralement des informations déjà publiques et ne sont pas les plus faciles à compiler pour constituer une menace crédible.
Toutefois, dans le cas de Duolingo, ces données récupérées contenaient également des informations sensibles sur les utilisateurs, qui n’étaient pas accessibles au public. Pour l’instant, nous ne pouvons qu’attendre que Duolingo résolve ce problème en priorité. Si vos données figurent parmi celles qui ont été divulguées, le mieux que vous puissiez faire est de modifier vos informations d’identification et/ou de supprimer votre compte Duolingo.