Apprendre une nouvelle langue peut être difficile, c’est pourquoi Duolingo est devenu un service si populaire qui compte plus de 74 millions d’utilisateurs mensuels dans le monde. Cependant, 2,6 millions de ces utilisateurs de Duolingo risquent désormais d’être victimes de attaques de phishing ciblées, après que des pirates ont divulgué leurs informations personnelles en ligne.
Comme le rapporte BipOrdinateurun hacker posté sur un forum sur le Web sombre en janvier, ils vendaient les données récupérées de 2,6 millions d’utilisateurs de DuoLingo pour 1 500 $. Outre les identifiants publics et les vrais noms, cette collection de données récupérées comprenait également des informations personnelles non publiques telles que les adresses e-mail des utilisateurs et des informations internes de Duolingo.
Récupérer des données sur les plateformes de médias sociaux et autres sites Web n’a rien de nouveau ; outre les hackers, des entreprises privées telles que courtiers en données téléchargent souvent ce type d’informations pour les utiliser à des fins de marketing. Cependant, dans ce cas, les adresses e-mail des utilisateurs de Duolingo n’étaient pas accessibles au public et ont été obtenues en exploitant une API exposée.
À l’époque, Duolingo avait confirmé L’enregistrement qu’elle était consciente que des pirates avaient récupéré des informations de profil public sur sa plateforme d’apprentissage des langues et qu’elle enquêtait sur les précautions supplémentaires qui devraient être prises. Cependant, la société n’a pas précisé que les adresses e-mail des utilisateurs étaient également contenues dans ces données récupérées.
Adresses e-mail grattées
Alors que le forum du dark web dans lequel ces données utilisateur de Duolingo ont été annoncées pour la première fois a depuis été fermé, les données récupérées ont maintenant été publiées sur une nouvelle version du forum à un prix bien inférieur, un peu plus de 2 $.
Dans un article sur X (anciennement Twitter), VX-Underground a expliqué que le pirate informatique à l’origine de cette fuite de données a identifié un bug dans l’API de Duolingo qui fournit le nom d’un utilisateur, son adresse e-mail et toutes les langues qu’il a étudiées lorsqu’un e-mail valide lui est envoyé. À partir de là, le pirate informatique responsable « a utilisé une liste de diffusion pour rassembler plus de 2,6 millions d’entrées uniques ».
Malheureusement, ce bug dans l’API de Duolingo est toujours actif et BleepingComputer a pu le tester par lui-même. En attendant que ce problème soit résolu, n’importe qui peut obtenir les adresses e-mail des utilisateurs du service.
Avec un vrai nom et une adresse e-mail valide en main, les pirates disposent de toutes les informations nécessaires pour lancer des attaques de phishing ciblées contre les utilisateurs de Duolingo. Contrairement à l’habituel e-mails de phishing, ces messages seraient beaucoup plus personnalisés puisque les pirates qui les envoient disposent de plus d’informations avec lesquelles travailler. Dans le même temps, ils pourraient également tenter de se faire passer pour Duolingo dans leurs messages dans l’espoir que les victimes potentielles seraient plus susceptibles de cliquer.
En plus d’essayer de voler votre argent, les pirates pourraient utiliser ces e-mails de phishing ciblés pour inciter les utilisateurs de Duolingo à installer des logiciels malveillants sur leurs ordinateurs ou pour fournir leurs informations d’identification ou même leurs informations de paiement puisque le service dispose d’un niveau payant appelé Super Duolingo.
Comment se protéger des escroqueries par phishing
Afin d’éviter d’être victime de phishing, vous devez examiner attentivement tous les e-mails qui arrivent dans votre boîte de réception.
Cela signifie examiner l’adresse de l’expéditeur et vérifier s’il s’agit d’une adresse e-mail légitime utilisée par Duolingo. À partir de là, vous devrez faire attention aux mots mal orthographiés et à la mauvaise grammaire, car ce sont des problèmes. drapeau rouge majeur lorsqu’il s’agit d’e-mails de phishing. Vous souhaitez également éviter de cliquer sur des liens ou de télécharger des pièces jointes que ces e-mails suspects peuvent contenir.
De même, vous voudrez être à l’affût d’un langage qui tente d’inculquer Un sentiment d’urgence, car les pirates informatiques et autres cybercriminels utilisent souvent vos émotions contre vous. Si vous craignez un délai potentiel ou si vous perdez l’accès à votre compte Duolingo, vous êtes plus susceptible de répondre ou de faire ce qu’un escroc suggère dans son e-mail de phishing.
Pour une protection supplémentaire contre les logiciels malveillants ou toute autre menace que les e-mails de phishing peuvent contenir, vous devez installer le meilleur logiciel antivirus sur votre PC, le meilleur logiciel antivirus pour Mac sur votre Mac ou l’un des meilleures applications antivirus Android sur votre smartphone.
Nous devrons attendre de voir comment Duolingo réagit à cet incident, mais en attendant, les utilisateurs de Duolingo doivent être extrêmement prudents car leurs vrais noms et adresses e-mail pourraient actuellement être entre les mains de pirates.