Une base de données contenant les informations de 2,6 millions d’utilisateurs et utilisatrices de l’application Duolingo est en vente – pour environ deux euros – depuis le 21 août, sur des forums de hackers. La fuite a d’abord été signalée par le compte X (anciennement Twitter) de vx-underground, et Numerama a pu en consulter un extrait. Les données contiennent un ensemble d’adresse mail, de noms réels, des infos utilisateurs ainsi que des informations sur le fonctionnement de l’application.
Ces fichiers avaient déjà été mis en vente en janvier 2023 sur le forum de hackers Breached, désormais fermé. Le hacker avait indiqué avoir utilisé la méthode du scraping pour récupérer ces informations. Ce procédé informatique consiste à fouiller dans une page web, grâce à un script, c’est-à-dire un programme conçu pour effectuer une tâche précise. Concrètement, le programme automatise « l’aspiration » d’informations en explorant le code d’un site. Cette méthode est régulièrement utilisée pour récupérer les adresses mail d’une plateforme mal protégée.
Des données personnelles réutilisées par les hackers
Duolingo est une application populaire pour apprendre une ou plusieurs langues. Elle compte près de 74 millions d’utilisateurs mensuels. La société a confirmé au média américain TheRecord que des données avaient bien été récupérées à partir d’informations de profil publiques. Or, les adresses mail ou les choix de langues ne sont pas censés être divulgués. De nombreux comptes spécialisés sur X (ex-Twitter) rapportent que la faille (un manque de protection évident de certaines informations, trop facilement accessibles) était connue depuis près d’un an.
Le danger est que ces données peuvent être regroupées avec des informations plus privées (numéro de téléphone, adresse du domicile) afin de cerner une personne et la cible plus tard. Les cybercriminels peuvent réutiliser cette liste pour mener des campagnes de phishing plus ciblées à partir des données recueillies dans cette fuite.
Facebook et Twitter avaient également subi un scraping, révélant respectivement les informations de 533 millions et 200 millions d’utilisateurs. La commission irlandaise de protection des données (DPC) avait condamné Facebook à une amende de 265 millions d’euros.
Vous pouvez vérifier si vos informations sont concernées par cette fuite sur le site haveibeenpwned.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
