Les données récupérées de 2,6 millions d’utilisateurs de DuoLingo ont été divulguées sur un forum de piratage, permettant aux acteurs malveillants de mener des attaques de phishing ciblées en utilisant les informations exposées.
Duolingo est l’un des plus grands sites d’apprentissage des langues au monde, avec plus de 74 millions d’utilisateurs mensuels dans le monde.
En janvier 2023, quelqu’un vendait les données récupérées de 2,6 millions d’utilisateurs de DuoLingo sur le forum de piratage Breached, aujourd’hui fermé, pour 1 500 $.
Ces données comprennent un mélange de connexions publiques et de noms réels, ainsi que des informations non publiques, y compris des adresses e-mail et des informations internes liées au service DuoLingo.
Alors que le vrai nom et le nom de connexion sont accessibles au public dans le cadre du profil Duolingo d’un utilisateur, les adresses e-mail sont plus préoccupantes car elles permettent d’utiliser ces données publiques dans des attaques.
Lorsque les données ont été mises en vente, DuoLingo a confirmé à TheRecord qu’elles avaient été supprimées des informations de profil public et qu’ils étudiaient si des précautions supplémentaires devaient être prises.
Cependant, Duolingo n’a pas abordé le fait que les adresses e-mail étaient également répertoriées dans les données, qui ne constituent pas des informations publiques.
Comme repéré pour la première fois par VX-Underground, l’ensemble de données récupérées de 2,6 millions d’utilisateurs a été publié hier sur une nouvelle version du forum de piratage Breached pour 8 crédits de site, d’une valeur de seulement 2,13 $.
« Aujourd’hui, j’ai mis en ligne Duolingo Scrape pour que vous puissiez le télécharger, merci d’avoir lu et profitez-en ! », lit-on dans un message sur le forum de piratage.
Ces données ont été récupérées à l’aide d’une interface de programmation d’application (API) exposée qui a été partagée ouvertement depuis au moins mars 2023, les chercheurs tweetant et documentant publiquement comment utiliser l’API.
L’API permet à quiconque de soumettre un nom d’utilisateur et de récupérer la sortie JSON contenant les informations de profil public de l’utilisateur. Cependant, il est également possible d’introduire une adresse e-mail dans l’API et de confirmer si elle est associée à un compte DuoLingo valide.
Breachtrace a confirmé que cette API est toujours ouvertement accessible à tous sur le Web, même après que son abus ait été signalé à DuoLingo en janvier.
Cette API a permis au scraper d’introduire des millions d’adresses e-mail, probablement exposées lors de violations de données précédentes, dans l’API et de confirmer si elles appartenaient à des comptes DuoLingo. Ces adresses e-mail ont ensuite été utilisées pour créer l’ensemble de données contenant des informations publiques et non publiques.
Un autre acteur malveillant a partagé sa propre analyse de l’API, soulignant que les acteurs malveillants souhaitant utiliser les données dans des attaques de phishing doivent prêter attention aux champs spécifiques qui indiquent qu’un utilisateur DuoLingo dispose de plus d’autorisations qu’un utilisateur normal et sont donc des cibles plus précieuses.
Breachtrace a contacté DuoLingo pour lui demander pourquoi l’API est toujours accessible au public, mais n’a pas reçu de réponse au moment de cette publication.
Données récupérées régulièrement rejetées
Les entreprises ont tendance à considérer que les données récupérées ne constituent pas un problème, car la plupart des données sont déjà publiques, même si elles ne sont pas nécessairement faciles à compiler.
Cependant, lorsque des données publiques sont mélangées à des données privées, telles que des numéros de téléphone et des adresses e-mail, cela tend à rendre les informations exposées plus risquées et potentiellement enfreindre les lois sur la protection des données.
Par exemple, en 2021, Facebook a subi une fuite massive après qu’un bug de l’API « Ajouter un ami » ait été abusé pour lier les numéros de téléphone aux comptes Facebook de 533 millions d’utilisateurs. La commission irlandaise de protection des données (DPC) a ensuite infligé à Facebook une amende de 265 millions d’euros (275,5 millions de dollars) pour cette fuite de données récupérées.
Plus récemment, un bug de l’API Twitter a été utilisé pour récupérer les données publiques et les adresses e-mail de millions d’utilisateurs, conduisant à une enquête de la DPC.