La dernière violation de données de Duolingo a exposé 2,6 millions d’utilisateurs, et toutes leurs informations se trouvent désormais sur Internet, en attente d’être vendues.
Dans une tournure inquiétante des événements, l’application d’apprentissage des langues largement utilisée, Duolingo, est devenue la dernière cible de violation de données, mettant en danger les informations personnelles de 2,6 millions d’utilisateurs. Les données piratées, qui incluent des informations sensibles telles que des adresses e-mail, des noms d’utilisateur, des noms et des numéros de téléphone, ont trouvé leur chemin sur le marché clandestin de la cybercriminalité, BreachForums.
L’incident a soulevé des questions sur les pratiques en matière de sécurité et de confidentialité des données, incitant l’entreprise à prendre des mesures. Examinons les détails de cette violation et ses implications potentielles.
2,6 millions de personnes ont été touchées par la violation de données Duolingo
Les utilisateurs de Duolingo ont reçu de mauvaises nouvelles lorsqu’il a été découvert qu’une quantité importante de données utilisateur avait été exposée en ligne. Environ 2,6 millions de personnes ont vu leurs informations personnelles récupérées et mises en vente sur BreachForums, un marché clandestin connu pour héberger de tels échanges illégaux.
Les informations exposées contiennent une gamme de données, allant des identifiants de base tels que les noms d’utilisateur et les noms à des informations plus détaillées telles que les profils de réseaux sociaux, les études linguistiques, les niveaux d’expérience et même les progrès et les réalisations au sein de l’application.
L’ensemble de données complet contenant les détails de plus de 2,6 millions d’utilisateurs est en vente depuis janvier, pour un prix initial de 1 500 $. Cette mine de données, qui représente une mine d’or potentielle pour les cybercriminels, est désormais disponible contre 8 crédits, ce qui équivaut à environ 2,13 $ dans la devise interne de BreachForums.
À l’intérieur de l’alarmant Violation de données PSNI
Cette révélation brutale a sonné l’alarme au sein de la communauté de la cybersécurité, laissant les experts et les utilisateurs préoccupés par l’ampleur des retombées de la violation. « Aujourd’hui, j’ai mis en ligne Duolingo Scrape pour que vous puissiez le télécharger, merci d’avoir lu et profitez-en! » le hacker a écrit sur le forum.
Des chercheurs ont démantelé la violation de données de Duolingo
Un groupe de chercheurs de Vx-underground a découvert une révélation alarmante concernant la violation de données de Duolingo. Il semble qu’un acteur menaçant ait réussi à exploiter un bug dans l’API de Duolingo. En soumettant un e-mail valide à l’API, l’attaquant pourrait récupérer les détails génériques du compte de l’utilisateur. Cette faille de sécurité expose les utilisateurs au doxxing, une cyber-attaque qui implique la révélation d’informations privées et pourrait conduire à des tentatives de phishing ciblées.
Un acteur menaçant a identifié un bug dans l’API Duolingo. L’envoi d’un email valide à l’API renvoie des informations génériques de compte sur l’utilisateur (nom, email, langues étudiées).
Ils ont utilisé une liste de diffusion pour rassembler plus de 2,6 millions d’entrées uniques.
Cela sera utilisé pour le doxxing.
– vx-underground (@vxunderground) 21 août 2023
Cyberactualité les chercheurs ont approfondi la brèche et ont constaté que les risques potentiels s’étendent au-delà de la taille initiale. Ils ont découvert que les données des utilisateurs sur Duolingo restent vulnérables au grattage, faisant allusion à la possibilité d’accéder à des informations supplémentaires, telles que les données de localisation et les avatars publics. La vulnérabilité provient principalement d’une interface de programmation d’application (API) exposée, que les pirates peuvent manipuler pour collecter les données de profil public d’un individu.
Duolingo y travaille
Duolingo a rapidement réagi à la situation, reconnaissant la violation tout en soulignant qu’aucun piratage ou violation de données n’avait eu lieu au sein de ses systèmes. Selon l’entreprise, les données compromises ont été obtenues à partir d’informations de profil accessibles au public via l’API ouverte de la plateforme. UN
Le porte-parole de Duolingo a rassuré les utilisateurs sur le fait que la confidentialité et la sécurité de leurs données sont d’une importance primordiale. La société enquête activement sur la question et évalue si des mesures supplémentaires sont nécessaires pour protéger les informations de ses utilisateurs.
760 000 utilisateurs sont en danger après la Violation de données sur Discord.io
Au fur et à mesure que l’enquête se déroule, la faille de sécurité rappelle l’importance cruciale de la protection des données et de la cybersécurité. Cette violation souligne la nécessité pour les entreprises de surveiller et de renforcer en permanence leurs systèmes contre les menaces en constante évolution. Bien que Duolingo prenne des mesures pour remédier à la situation, les utilisateurs sont encouragés à rester vigilants, à appliquer de solides pratiques de sécurité et à surveiller leurs informations personnelles.
Crédit image en vedette : Duolingo
