Duolingo, une plateforme d’apprentissage linguistique très prisée à l’échelle mondiale, rassemble des millions d’utilisateurs actifs chaque mois. Toutefois, un incident fâcheux a été révélé début 2023 : une faille de sécurité a compromis les données personnelles de plus de 2,5 millions d’utilisateurs.
Cette intrusion a entraîné la divulgation d’informations à caractère public et privé, telles que les noms réels, les adresses électroniques, les numéros de téléphone et les cours suivis par les utilisateurs. Voici un aperçu des éléments importants à retenir.
La fuite de données Duolingo : Retour sur les faits
Le public a été informé de cet incident en janvier 2023, quand les informations de 2,6 millions de comptes d’utilisateurs ont été mises en vente sur un forum de piratage au prix de 1 500 dollars.
Bien que ce forum ait été depuis fermé, des experts en sécurité de VX-Underground ont mis en évidence que ces données étaient à nouveau proposées à la vente sur une nouvelle version du forum, cette fois pour huit crédits du site, soit environ 2,13 dollars.
Le pirate à l’origine de la fuite affirme avoir récupéré ces données via une API vulnérable. Il aurait utilisé des adresses email provenant de précédentes fuites pour vérifier si elles étaient associées à des comptes Duolingo actifs, constituant ainsi un ensemble de données combinant informations publiques et privées.
Un représentant de Duolingo a expliqué que les données divulguées provenaient des profils publics des utilisateurs. Cependant, cette affirmation est discutable, étant donné que les informations obtenues incluaient les noms réels, les connexions publiques, l’avancement dans l’apprentissage linguistique et les adresses email, des éléments qui ne sont généralement pas considérés comme publics.
Qui a été touché par le piratage de Duolingo ?
D’après une étude de Surfshark, les États-Unis ont été les plus touchés par cette violation, avec près d’un million de comptes affectés. Le Soudan du Sud se trouve en deuxième position avec 175 000 comptes compromis, suivi par l’Espagne (123 000), la France (105 000) et le Royaume-Uni (98 000).
Chaque compte de messagerie concerné a subi la fuite d’environ cinq informations, comprenant notamment le nom, le nom d’utilisateur, la photo de profil, la langue et le pays. Dans certains cas, la totalité des informations d’un utilisateur ont été exposées.
Quel usage est fait des données dérobées ?
Des courtiers en données collectent fréquemment des informations glanées sur les réseaux sociaux afin de les revendre à des tiers à des fins diverses, notamment le marketing. Cependant, les cybercriminels peuvent également tirer profit des données divulguées des utilisateurs de Duolingo pour mener des attaques d’ingénierie sociale, comme des tentatives de phishing ciblées, utilisant les noms réels et les adresses e-mail valides des victimes.
Les personnes concernées risquent de recevoir des courriels de phishing personnalisés, par exemple des offres de cours de langue à prix réduit, grâce aux informations divulguées concernant leurs noms, leur progression dans les cours Duolingo et leur pays d’origine. Ces messages pourraient aussi inclure des suggestions de voyage vers des pays où la langue qu’ils apprennent est parlée.
Des cybercriminels pourraient également usurper l’identité de Duolingo et envoyer des emails avec des liens vers une version payante ou un cours premium. En cliquant sur ces liens et en saisissant vos données de paiement, vous risquez de vous faire voler vos informations.
Comment réagir face à la violation de données Duolingo
Le problème de la récupération de données à partir de sites web et d’applications est une réalité bien connue touchant de nombreuses grandes entreprises technologiques. Par exemple, en avril 2021, les informations d’environ 500 millions d’utilisateurs de LinkedIn avaient été compromises.
Si vous pensez que vos données ont été divulguées lors de cette violation, vous pouvez prendre des mesures pour y remédier. Vous pouvez notamment vérifier si vos informations ont été compromises en consultant le site HaveIBeenPwned. Ce dernier affirme que toutes les données compromises de Duolingo étaient déjà enregistrées dans sa base de données.
Afin d’éviter le phishing, examinez attentivement tous les courriels que vous recevez, particulièrement ceux qui semblent urgents. Vérifiez l’adresse de l’expéditeur, abstenez-vous de cliquer sur des liens ou des pièces jointes douteuses, et envisagez d’installer un logiciel antivirus pour vous prémunir contre les logiciels malveillants dissimulés dans les emails de phishing.
Méfiez-vous des tentatives d’usurpation d’identité et ne partagez jamais d’informations sensibles, comme vos noms d’utilisateur ou mots de passe, par e-mail, car Duolingo ne les demandera jamais par ce biais. Par ailleurs, suivez les recommandations du fournisseur, modifiez votre mot de passe et envisagez de mettre en place une authentification à deux facteurs.
Vous avez des doutes concernant les mesures de sécurité mises en place par Duolingo pour protéger les données de ses utilisateurs ? Ou peut-être que l’efficacité de vos propres actions vous laisse perplexe ? Dans ce cas, l’exploration d’autres applications d’apprentissage des langues pourrait être une solution à envisager.
Protégez vos données et renforcez vos défenses
Les violations de données sont devenues de plus en plus fréquentes et les informations dérobées peuvent être utilisées à diverses fins, allant du marketing aux cyberattaques en passant par les tentatives de phishing. À l’heure actuelle, des acteurs malveillants ont accès aux informations de nombreux utilisateurs de Duolingo, notamment leurs noms réels et leurs adresses électroniques.
Pour se protéger des conséquences des violations de données, il est essentiel que les utilisateurs prennent des mesures proactives, en particulier en apprenant à identifier les menaces potentielles, les tentatives d’usurpation d’identité et les attaques de phishing.