Duolingo victime d'une fuite de données ?
Tôt ce 24 janvier, un hacker répondant au pseudonyme de House a prétendu avoir mis en vente les données de 2,6 millions de comptes Duolingo, une application et site web d'apprentissage de langue étrangère. Parmi ces données : des adresses mails, des noms ainsi que les liens rattachant ces derniers à des comptes Facebook. Les enchères commencent à 1 500 dollars. Le cybercriminel a posté son offre sur un forum du darknet bien connu des hackers, un des principaux sites de revente de données volées sur cet Internet parallèle.
Le hacker House est bien vu sur le forum, il possède une note de 657 vert, et est donc considéré comme un membre fiable du forum. House explique qu'il aurait récupéré les données via une API. Il n'a donc pas directement attaqué Duolingo.
Après sollicitation, les équipes de Duolingo nous ont répondu ceci : "Nous sommes au courant de ce post sur le forum. Ces données ont été obtenues par data scraping, une extraction de données qui sont ensuite réutilisées et souvent modifiées sans l'accord de la source initiale, dans ce cas précis des profils publics. Aucune brèche de données ni aucun piratage n'a eu lieu. Nous prenons la protection des données très au sérieux et nous procédons en ce moment à des investigations sur cet incident, afin de voir s'il nécessite des actions futures pour protéger nos utilisateurs".
