L'application d'apprentissage des langues Duolingo a été piratée afin que les cybercriminels puissent avoir accès à votre nom et à votre emplacement. Voici pourquoi c'est important.

Duolingo est l'une des applications d'apprentissage des langues les plus populaires au monde, comptant des dizaines de millions d'utilisateurs mensuels actifs. Cependant, début 2023, la nouvelle a été annoncée selon laquelle Duolingo avait subi une violation de données qui a exposé les données de plus de 2,5 millions d'utilisateurs.

La violation a divulgué des informations publiques et privées sur les utilisateurs, notamment leurs vrais noms, adresses e-mail, numéros de téléphone et cours inscrits. Voici ce que vous devez savoir.

La violation de données Duolingo: que s'est-il passé?

Le public a pris connaissance du problème en janvier 2023, lorsque les données de 2,6 millions de comptes clients ont été mises en vente sur un forum de piratage pour 1 500 dollars.

Le forum est maintenant fermé. Cependant, les chercheurs en sécurité de VX-Underground ont découvert que les données étaient vendues sur une nouvelle version du forum pour huit crédits de site, ce qui équivaut à environ 2,13 $.

instagram viewer

Le pirate informatique prétend avoir récupéré les données d'une API exposée et partagé un échantillon de 1 000 comptes. L'attaquant a probablement introduit les adresses e-mail des violations passées dans l'API pour vérifier si elles étaient liées à des comptes Duolingo actifs, créant ainsi un ensemble de données avec des données publiques et non publiques.

L'explication d'un porte-parole de Duolingo est que les données ont été extraites des informations de profil public. Cependant, il est difficile d’accepter pleinement cette affirmation puisque les données récupérées comprenaient les vrais noms des utilisateurs, les connexions publiques, les progrès dans l’apprentissage des langues et les adresses e-mail, qui ne sont généralement pas publiques.

Qui a été affecté par le piratage de Duolingo?

Selon une recherche Surfshark, la violation de données Duolingo a frappé le plus durement les États-Unis, affectant près d'un million de comptes. Le Soudan du Sud arrive en deuxième position avec 175 000 comptes concernés, suivi de l'Espagne (123 000), de la France (105 000) et du Royaume-Uni (98 000).

Chaque compte de messagerie compromis a fait l'objet d'une fuite d'environ cinq points de données, notamment son nom, son nom d'utilisateur, sa photo de profil, sa langue et son pays. Dans certains cas, tous les détails d’un utilisateur ont été exposés.

Qu’arrive-t-il ensuite aux données récupérées?

Les courtiers en données collectent souvent des données récupérées sur les réseaux sociaux et les vendent à des tiers à diverses fins, notamment pour le marketing. Les cybercriminels peuvent toutefois utiliser les données divulguées des utilisateurs de Duolingo pour exécuter attaques d'ingénierie sociale, comme les attaques de phishing ciblées, en utilisant les vrais noms des victimes et leurs adresses e-mail valides.

Les personnes concernées pourraient recevoir des e-mails de phishing personnalisés, comme des cours de langue à prix réduit, grâce aux noms divulgués, à la progression des cours Duolingo et aux détails de leur pays d'origine. Ces e-mails peuvent également inclure des invitations à voyager dans des pays où est parlée la langue que vous apprenez.

Les cybercriminels peuvent également usurper l'identité de Duolingo et envoyer des e-mails contenant des liens vers ce qui semble être la version payante de Duolingo ou un cours premium. Si vous cliquez sur ces liens et saisissez vos informations de paiement, l'attaquant peut voler vos informations.

Comment gérer la violation de données Duolingo

La suppression des données des sites Web et des applications est un problème bien connu qui touche de nombreuses grandes entreprises technologiques. Par exemple, en avril 2021, les données d'environ 500 millions d'utilisateurs de LinkedIn ont été supprimées.

Si vous pensez que vos données ont été divulguées lors de la violation, vous pouvez prendre des mesures pour y remédier. L'un d'eux vérifie si vos informations ont été compromises par visiter le site Web HaveIBeenPwned. Cela prétend que toutes les données violées de Duolingo se trouvaient déjà dans sa base de données.

Pour éviter le phishing, inspectez soigneusement les e-mails, en particulier les plus urgents. Vérifiez les adresses des expéditeurs, ne cliquez pas sur les liens et pièces jointes suspects et envisagez d’installer un logiciel antivirus pour une protection renforcée contre les logiciels malveillants contenus dans les e-mails de phishing.

Attention aux attaques par usurpation d'identité et ne partagez jamais d'informations sensibles telles que les noms d'utilisateur et les mots de passe par e-mail, car Duolingo ne demande pas de tels détails dans les e-mails. Suivez également les conseils du fournisseur, modifiez votre mot de passe et envisagez de configurer une authentification à deux facteurs.

Que faire si vous n'êtes pas sûr des mesures de sécurité prises par Duolingo pour protéger les données des utilisateurs? Ou peut-être avez-vous des doutes sur l’efficacité de vos actions? Dans ce cas, vous pouvez essayer autres applications d'apprentissage des langues.

Protégez vos données et renforcez vos défenses

Les violations de données sont devenues de plus en plus courantes et les informations volées peuvent servir à diverses fins, du marketing aux cyberattaques, en passant par les tentatives de phishing. Actuellement, les acteurs malveillants ont accès aux informations de nombreux utilisateurs de Duolingo, y compris leurs vrais noms et adresses e-mail.

Pour remédier aux violations de données, les utilisateurs doivent prendre des mesures proactives, notamment en apprenant à identifier les violations potentielles et les tentatives d'usurpation d'identité et à lutter contre les attaques de phishing.