Der Betreiber mehrerer führender Dating-Plattformen, Match Group (unter anderem Tinder, Match, Meetic, OkCupid, Hinge), untersucht derzeit einen schweren Cyberangriff. Die Hackergruppe ShinyHunters behauptet, rund 1,7 GB Daten erbeutet zu haben, darunter etwa 10 Millionen Datensätze von Nutzern sowie zahlreiche interne Unternehmensdokumente.
Cyberangriff auf Match Group: aktueller Stand und erste Einschätzung
Match Group hat den Sicherheitsvorfall bestätigt und erklärt, der unautorisierte Zugriff sei nach Entdeckung rasch unterbunden worden. Ein internes Incident-Response-Team arbeitet gemeinsam mit externen Sicherheitsexperten an der Aufklärung des Angriffs und an einer forensischen Analyse der betroffenen Systeme.
Nach bisherigen Erkenntnissen seien weder Zugangsdaten noch Zahlungsinformationen oder private Chats kompromittiert worden. Das Unternehmen räumt jedoch ein, dass ein „begrenzter Umfang an Nutzerdaten“ betroffen ist und informiert derzeit betroffene Personen. Welche konkreten Datentypen (z. B. E-Mail-Adressen, Profilattribute, Marketing-Metadaten) in der geleakten Datenmenge enthalten sind, ist öffentlich noch nicht vollständig bekannt.
Recherchen von Cybernews deuten darauf hin, dass im veröffentlichten Archiv sowohl Nutzerinformationen als auch interne Marketing- und Analyseunterlagen enthalten sind. Solche Daten reichen zwar oft nicht für einen direkten Kontenmissbrauch, können aber gezielte Phishing- und Social-Engineering-Kampagnen erheblich erleichtern.
Angriffsvektor: kompromittierter Okta-SSO-Account und Zugriff auf Cloud-Dienste
Laut dem Fachportal BleepingComputer nutzten die Angreifer einen kompromittierten SSO-Zugang bei Okta als Einstieg. Okta fungiert als zentraler Identitätsprovider: Mitarbeitende melden sich einmal an (Single Sign-On, SSO) und erhalten damit Zugriff auf viele interne Anwendungen. Wird ein solcher Account übernommen, entspricht dies in der Praxis einem „Generalschlüssel“ für zahlreiche Unternehmenssysteme.
Über diesen Zugang sollen ShinyHunters unter anderem auf AppsFlyer (Marketing-Analytics), Google Drive und Dropbox zugegriffen haben. In solchen Cloud-Speichern liegen häufig Reports, Datenexporte und strategische Dokumente – ein attraktives Ziel für Datendiebstahl. Studien wie der Verizon Data Breach Investigations Report 2023 zeigen, dass in einem großen Teil der Angriffe auf Webanwendungen gestohlene Zugangsdaten eine zentrale Rolle spielen.
Phishing-Domain als Ausgangspunkt der Kompromittierung
Als initialer Angriffsvektor wird ein Phishing-Domainname genannt: matchinternal[.]com. Die Domain imitiert einen internen Unternehmensdienst und dürfte für täuschend echt gestaltete Login-Seiten genutzt worden sein. Mitarbeitende, die dort ihre Zugangsdaten eingeben, liefern Angreifern ihre Anmeldedaten frei Haus – eine klassische Credential-Harvesting-Taktik.
Parallelangriff auf Bumble: Supply-Chain-Risiken im Fokus
Nahezu zeitgleich meldete ShinyHunters einen Angriff auf den Wettbewerber Bumble und veröffentlichte etwa 30 GB Daten, angeblich aus Google Drive und Slack. Bumble bestätigte den Vorfall, führt ihn jedoch auf ein kompromittiertes Konto eines externen Dienstleisters zurück, das durch Phishing übernommen worden sein soll.
Nach Angaben von Bumble war das betroffene Konto mit eingeschränkten Rechten ausgestattet und nur kurzzeitig aktiv, weshalb keine Nutzerkonten, Zahlungsdaten oder Nachrichten beeinträchtigt worden seien. Unabhängig von der genauen Schadenshöhe unterstreicht der Vorfall ein strukturelles Problem moderner IT-Landschaften: Schwachstellen bei Partnern und Dienstleistern werden zunehmend als Einfallstor genutzt – ein typisches Muster von Supply-Chain-Angriffen, wie sie auch in anderen Fällen (z. B. bei Software- und Managed-Service-Anbietern) beobachtet wurden.
ShinyHunters-Kampagne: gestohlene Okta-Daten als Hebel gegen zahlreiche Unternehmen
ShinyHunters soll in den vergangenen Monaten eine breit angelegte Kampagne gegen rund 100 Organisationen geführt haben, bei der kompromittierte Okta-SSO-Daten im Mittelpunkt standen. Unter den betroffenen Zielen befinden sich namhafte SaaS-Anbieter wie Atlassian, Canva, HubSpot, Epic Games oder RingCentral.
Die Vorfälle verdeutlichen das Risiko einer Konzentration von Identitäten bei wenigen Identity-Providern. Wird ein einzelner SSO-Account übernommen – etwa durch Phishing, Malware oder wiederverwendete Passwörter –, erhalten Angreifer oftmals Zugriff auf dutzende interne Tools, von Entwicklungsumgebungen über CRM-Systeme bis hin zu Dokumentenplattformen. Laut dem IBM Cost of a Data Breach Report 2023 zählen kompromittierte Zugangsdaten zu den teuersten und am häufigsten ausgenutzten Einstiegspunkten in Unternehmen.
Risiken für Nutzer von Dating-Apps und empfohlene Schutzmaßnahmen
Dating-Plattformen verarbeiten besonders sensiblen personenbezogenen Daten: Kontaktinformationen, demografische Angaben, Interessen, sexuelle Orientierung, Beziehungsstatus und teilweise genaue Standortinformationen. In Kombination können solche Daten für Erpressung, Identitätsdiebstahl oder hochgradig personalisierte Social-Engineering-Angriffe missbraucht werden.
Match Group betont, dass private Chats und Zahlungsinformationen nicht betroffen seien. Dennoch erhöht bereits eine Teilmenge an Kontakt- und Marketingdaten das Risiko für täuschend echte Phishing-Kampagnen. Angreifer können beispielsweise E-Mails oder In-App-Nachrichten versenden, die wie offizielle Hinweise von Tinder, OkCupid oder Hinge wirken und zur „Kontoverifizierung“ oder Aktualisierung von Zahlungsdaten auffordern.
Nutzern von Dating-Apps ist zu folgenden Maßnahmen zu raten:
- Passwörter ändern und für jede Plattform ein einzigartiges, langes Passwort verwenden – idealerweise mit einem Passwortmanager.
- Zwei-Faktor-Authentifizierung (2FA) aktivieren und, wenn möglich, App-basierte Authenticator oder FIDO2-Sicherheitsschlüssel statt SMS nutzen.
- E-Mails und Nachrichten genau prüfen: Absenderadresse, Domain und Links kontrollieren, insbesondere wenn nach Login-Daten oder Zahlungsinformationen gefragt wird.
- Keine sensiblen Informationen (z. B. Ausweisfotos, Finanzdaten, berufliche Interna) in Dating-Profilen oder Chats preisgeben, die über das Notwendige hinausgehen.
Die aktuellen Vorfälle bei Match Group und Bumble zeigen, dass selbst global agierende Tech-Unternehmen nicht vor einer Kombination aus Phishing, SSO-Kompromittierung und schwachen Gliedern in der Lieferkette gefeit sind. Organisationen, die mit sensiblen Kundendaten arbeiten, sollten ihre Identity- und Access-Management-Systeme (Okta und vergleichbare Lösungen) stärken, phishingsichere MFA-Verfahren wie FIDO2 einführen, Zugriffsrechte von Dienstleistern strikt nach dem Need-to-know-Prinzip vergeben und Mitarbeitende regelmäßig im Erkennen zielgerichteter Phishing-Angriffe schulen. Nutzer wiederum können durch konsequente Passworthygiene, aktivierte 2FA und erhöhte Aufmerksamkeit gegenüber verdächtigen Nachrichten dazu beitragen, die Folgen solcher Datenpannen deutlich zu begrenzen.
