Один із найбільших гравців ринку онлайн-знайомств Match Group (Tinder, Match, Meetic, OkCupid, Hinge) підтвердив кібератаку після того, як хакерська група ShinyHunters виклала у відкритий доступ архів обсягом близько 1,7 ГБ. Зловмисники заявляють про доступ до приблизно 10 млн записів користувачів сервісів Hinge, Match і OkCupid, а також до сотень внутрішніх корпоративних документів.
Офіційна позиція Match Group та масштаби інциденту
У Match Group підтвердили факт кібератаки і заявили, що несанкціонований доступ було оперативно заблоковано. Компанія проводить внутрішнє розслідування із залученням зовнішніх фахівців з інформаційної безпеки для детального аналізу інциденту та оцінки його наслідків.
За попередніми висновками, зловмисникам не вдалося отримати облікові дані користувачів, платіжну інформацію чи вміст приватних переписок у додатках. Водночас Match Group визнає витік «обмеженого обсягу користувацьких даних» і повідомляє, що постраждалі акаунти вже отримують індивідуальні сповіщення.
Компанія поки не розкриває, які саме категорії інформації потрапили до архіву та скільки користувачів було зачеплено. Журналісти Cybernews, які аналізували зразки викладених файлів, повідомляють про наявність як користувацьких записів, так і внутрішніх документів, пов’язаних із маркетингом та аналітикою.
Як відбулася кібератака: Okta SSO, AppsFlyer та хмарні сховища
За даними BleepingComputer, ключовим елементом інциденту став скомпрометований обліковий запис Single Sign-On в Okta. Okta — це провайдер керування цифровими ідентичностями, який дозволяє співробітникам входити до десятків внутрішніх систем, використовуючи єдину пару логін/пароль (модель SSO — Single Sign-On).
Компрометація такого акаунта фактично надає зловмиснику «майстер-ключ» до цілої екосистеми корпоративних сервісів. У випадку Match Group через викрадений SSO-доступ хакери змогли проникнути до системи маркетингової аналітики AppsFlyer, а також до хмарних сховищ Google Drive і Dropbox, де зазвичай зберігаються звіти, вибірки даних та робоча документація.
Первинний доступ, за інформацією ЗМІ, був здобутий через фішинговий домен matchinternal[.]com, стилізований під внутрішній портал Match Group. Співробітників могли перенаправляти на підроблену сторінку входу, де їхні логіни та паролі потрапляли до рук атакуючих.
Паралельна атака на Bumble та вразливість ланцюга постачання
Майже одночасно ShinyHunters заявили про злам конкурента Match Group — сервісу Bumble, оприлюднивши близько 30 ГБ даних, нібито викрадених із Google Drive та Slack компанії.
Bumble підтвердив інцидент, уточнивши, що причиною став злам облікового запису одного з підрядників унаслідок фішингової атаки. Скомпрометований акаунт мав обмежені привілеї й використовувався для короткочасного доступу до частини мережі. За заявами Bumble, активність було швидко виявлено та заблоковано, а облікові записи користувачів, застосунок і особисті повідомлення не постраждали.
Цей випадок наочно демонструє ризики для сучасних компаній: навіть за високого рівня внутрішньої безпеки слабка ланка в особі підрядника або стороннього сервісу може стати точкою входу. Такий підхід зловмисників відносять до атак на ланцюг постачання (supply chain attack), і він дедалі частіше фігурує у провідних галузевих звітах.
ShinyHunters, Okta і хвиля атак на SaaS-провайдерів
Останніми місяцями ShinyHunters проводять масштабну кампанію проти приблизно сотні організацій, використовуючи викрадені або скомпрометовані SSO-дані в Okta. Серед постраждалих згадуються великі SaaS‑постачальники, зокрема Atlassian, AppLovin, Canva, Epic Games, Genesys, HubSpot, Iron Mountain, RingCentral і ZoomInfo.
Ця хвиля інцидентів демонструє, наскільки критичною стає компрометація провайдерів ідентифікації. Один успішно зламаний SSO‑акаунт відкриває двері до десятків сервісів — від маркетингових платформ і CRM до внутрішніх репозиторіїв коду та документації. Без належного моніторингу підозрілої активності та жорсткої багатофакторної автентифікації наслідки таких атак можуть бути масштабними.
Ризики для користувачів Tinder, OkCupid, Hinge та інших дейтингових платформ
Дейтингові додатки обробляють особливо чутливі дані: адреси електронної пошти, номери телефонів, демографічну інформацію, інтереси, уподобання, а також, у багатьох випадках, геолокацію та відомості про особисте життя. Сукупність цих даних може бути використана для .
Match Group стверджує, що приватні переписки та платіжні дані користувачів не зачеплені. Однак навіть часткова утечка контактної інформації та маркетингових атрибутів підвищує ризик атак, коли зловмисники надсилатимуть повідомлення, що імітують офіційні листи від Tinder, OkCupid чи Hinge, з вимогою «підтвердити акаунт» або «оновити платіжні дані».
Практичні поради: як захистити облікові записи в дейтингових сервісах
Користувачам рекомендується:
— оновити паролі до акаунтів Tinder, OkCupid, Hinge та інших сервісів, особливо якщо той самий пароль використовується на кількох сайтах;
— увімкнути двохфакторну чи багатофакторну автентифікацію, надаючи перевагу застосункам-аутентифікаторам (TOTP) або апаратним ключам замість SMS;
— використовувати унікальні складні паролі та зберігати їх у надійному менеджері паролів;
— уважно перевіряти адресу відправника та домен посилань у листах і повідомленнях, не переходити за URL із підозрілим написанням або з невідповідністю домену офіційному сайту;
— за можливості періодично перевіряти, чи не фігурувала власна електронна адреса в публічних витоках даних через спеціалізовані сервіси моніторингу.
Що мають зробити компанії: посилення SSO, MFA та контролю підрядників
Інциденти з Match Group і Bumble підкреслюють необхідність системного підходу до кібербезпеки організацій, що працюють із чутливими персональними даними. Насамперед ідеться про захист систем ідентифікації (Okta та аналоги) через впровадження стійких до фішингу методів MFA — наприклад, апаратних ключів FIDO2/WebAuthn, а також політик «zero trust» з обмеженням доступу за принципом найменших привілеїв.
Критично важливо регулярно переглядати та мінімізувати права доступу підрядників і зовнішніх партнерів, впроваджувати сегментацію мережі та ізоляцію чутливих систем, а також проводити для персоналу навчання щодо виявлення таргетованих фішингових атак. Додатковими шарами захисту мають стати моніторинг аномальної активності SSO (незвичні геолокації, «неможливі подорожі» між входами), швидке виявлення витоків облікових даних та відпрацьовані процедури реагування на інциденти.
Ситуація навколо Match Group і Bumble демонструє, що навіть глобальні технологічні платформи залишаються вразливими до поєднання фішингу, компрометації SSO та слабких ланок у ланцюгу постачання. Щоб зменшити наслідки неминучих витоків, компаніям варто інвестувати в модернізацію систем автентифікації та управління доступом, а користувачам — приділяти більше уваги цифровій гігієні, регулярно оновлювати паролі та критично ставитися до будь-яких запитів щодо своїх даних.
