Une base de données contenant les informations de 2,6 millions d’utilisateurs et utilisatrices de l’application Duolingo est en vente – pour environ deux euros – depuis le 21 août, sur des forums de hackers. La fuite a d’abord été signalée par le compte X (anciennement Twitter) de vx-underground, et Numerama a pu en consulter un extrait. Les données contiennent un ensemble d’adresse mail, de noms réels, des infos utilisateurs ainsi que des informations sur le fonctionnement de l’application.
Ces fichiers avaient déjà été mis en vente en janvier 2023 sur le forum de hackers Breached, désormais fermé. Le hacker avait indiqué avoir utilisé la méthode du scraping pour récupérer ces informations. Ce procédé informatique consiste à fouiller dans une page web, grâce à un script, c’est-à-dire un programme conçu pour effectuer une tâche précise. Concrètement, le programme automatise « l’aspiration » d’informations en explorant le code d’un site. Cette méthode est régulièrement utilisée pour récupérer les adresses mail d’une plateforme mal protégée.
Des données personnelles réutilisées par les hackers
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Duolingo est une application populaire pour apprendre une ou plusieurs langues. Elle compte près de 74 millions d’utilisateurs mensuels. La société a confirmé au média américain TheRecord que des données avaient bien été récupérées à partir d’informations de profil publiques. Or, les adresses mail ou les choix de langues ne sont pas censés être divulgués. De nombreux comptes spécialisés sur X (ex-Twitter) rapportent que la faille (un manque de protection évident de certaines informations, trop facilement accessibles) était connue depuis près d’un an.
Le danger est que ces données peuvent être regroupées avec des informations plus privées (numéro de téléphone, adresse du domicile) afin de cerner une personne et la cible plus tard. Les cybercriminels peuvent réutiliser cette liste pour mener des campagnes de phishing plus ciblées à partir des données recueillies dans cette fuite.
Facebook et Twitter avaient également subi un scraping, révélant respectivement les informations de 533 millions et 200 millions d’utilisateurs. La commission irlandaise de protection des données (DPC) avait condamné Facebook à une amende de 265 millions d’euros.
Vous pouvez vérifier si vos informations sont concernées par cette fuite sur le site haveibeenpwned.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !