Duolingo : les e-mails, noms et numéros de téléphone de 2,6 millions d'utilisateurs disponibles pour 2 $ sur un forum de piratage

Des cybercriminels ont divulgué sur un forum de piratage populaire les données récupérées de 2,6 millions d'utilisateurs de Duolingo. Ces données collectées à partir de la célèbre application d’apprentissage des langues ont été initialement mises en vente en janvier 2023 pour 1 500 $.

Aujourd’hui, cependant, les données récupérées sont accessibles pour un peu plus de 2 dollars à toute personne souhaitant les utiliser à des fins de doxing (pratique consistant à divulguer sur Internet des informations sur l'identité et la vie privée d'un individu dans le but de lui nuire) ou d’attaques de phishing (hameçonnage) ciblées. Un échantillon de 1 000 registres a également été offert gratuitement.

Comment des acteurs malveillants ont-ils récupéré les informations sur les utilisateurs de Duolingo ?

Selon la déclaration initiale de l'entreprise en janvier 2023, 2,6 millions de registres d'utilisateurs ont été obtenus en récupérant les informations trouvées dans les profils d'utilisateurs publics, et aucune violation de données ni piratage n'a eu lieu.

Cela a été fait en exploitant une interface de programmation d'application (API) exposée qui permettait à quiconque de saisir des adresses e-mail ou des noms d'utilisateur et de récupérer un fichier JSON contenant ses informations de profil.

L'API exposée permettait à des individus malveillants de soumettre des millions d'adresses e-mail (même à partir de violations ou fuites de données plus anciennes) et de récupérer des informations de compte correspondant aux noms d'utilisateur soumis.

Selon les enquêteurs de BleepingComputer, le message de fuite de données Duolingo a été repéré par l'utilisateur X (anciennement Twitter) VX-Underground hier (le jour même où il a été rendu public) sur une nouvelle version du tristement célèbre forum de piratage Breached.

"Aujourd'hui, j'ai mis en ligne Duolingo Scrape pour que vous puissiez le télécharger, merci d'avoir lu et apprécié", lit-on dans le message.

Les données compromises incluent les adresses e-mail des utilisateurs, les langues étudiées, les numéros de téléphone (le cas échéant), les noms, les cours et d'autres informations Duolingo, telles que les progrès d'apprentissage et XP (points d'expérience).

Les chercheurs de BleepingComputer ont également confirmé que l’API utilisée pour récupérer les données des utilisateurs des plateformes est toujours "ouvertement accessible à tous sur le Web, même après que son abus a été signalé à Duolingo en janvier".

De plus, d’autres acteurs de la menace ont commencé à partager leurs propres informations et conseils sur l’API avec d’autres criminels susceptibles de vouloir utiliser ces données dans des programmes d’ingénierie sociale (hameçonnage).

"Les acteurs malveillants souhaitant utiliser les données dans des attaques de phishing doivent prêter attention aux champs spécifiques qui indiquent qu'un utilisateur Duolingo dispose de plus d'autorisations qu'un utilisateur normal et constituent donc des cibles plus précieuses", a expliqué BleepingComputer.

Bitdefender Digital Identity Protection peut vous aider à faire face à la vague de fuites de données qui vous met en danger.

Notre outil dédié de protection de l'identité surveille en permanence votre présence numérique (en utilisant uniquement votre numéro de téléphone et votre adresse e-mail), vous aidant à prévenir les attaques contre votre identité numérique, à gérer vos données personnelles, à protéger vos comptes en ligne et à réduire votre empreinte.