Un package contenant les données de 2,6 millions d’utilisateurs de Duolingo était en vente sur des forums de hackers pour 1 500 $. Un porte-parole de la populaire plateforme d’apprentissage des langues a confirmé la fuite, mais a ajouté que Duolingo n’avait pas été piraté. Le service n’avait (et a toujours) qu’une protection mal configurée.
Duolingo met à disposition une API qui peut être interrogée à l’aide d’adresses e-mail, et le service renvoie ensuite le nom de l’utilisateur, les langues apprises, les points gagnés (XP) et d’autres données liées à la progression du cours. Cela n’a rien de sensible, mais en combinaison avec l’adresse e-mail que les utilisateurs peuvent avoir eu avec d’autres services piratés, c’est une autre information utile pour l’ingénierie sociale. Cela aidera les attaquants potentiels à mieux connaître la victime.
Si vous avez un compte sur Duolingo, vous pouvez utiliser l’outil Ai-je été pwned vérifiez s’il faisait partie du colis vendu. Mais le risque est faible. Selon le rapport financier de Duolingo, le service comptait 72,6 millions d’utilisateurs actifs fin mars (les inscriptions pourraient être beaucoup plus élevées), de sorte que seule une fraction des personnes est « à risque ».
Cependant, tant que Duolingo ne ferme pas cette API, les attaquants peuvent exploiter les données d’autres utilisateurs, simplement en envoyant de plus en plus d’e-mails. D’ailleurs, Facebook et LinkedIn ont également souffert d’une erreur similaire dans le passé, qui révélait des informations sur des centaines de millions d’utilisateurs en leur demandant des adresses e-mail ou des numéros de téléphone.
Source: L’enregistrement, Ordinateur qui bipe
2023-08-23 14:45:06
1692801128
#Duolingo #est #buggé #cours #langue #populaire #révélé #les #informations #millions #dutilisateurs #Živě.cz
