Крупный владелец дейтинговых платформ Match Group (Tinder, Match, Meetic, OkCupid, Hinge) сообщил о киберинциденте после того, как группа ShinyHunters выложила в сеть архив объемом около 1,7 ГБ. Хакеры утверждают, что получили доступ к примерно 10 млн записей пользователей сервисов Hinge, Match и OkCupid, а также к сотням внутренних корпоративных документов.
Кибератака на Match Group: официальная позиция и первые выводы
В компании подтвердили факт кибератаки и отметили, что несанкционированный доступ был оперативно заблокирован. По словам Match Group, сейчас проводится внутреннее расследование при участии внешних специалистов по информационной безопасности.
По предварительной оценке компании, злоумышленникам не удалось получить доступ к учетным данным пользователей, их финансовой информации и приватным перепискам в приложениях. При этом в Match Group признают, что инцидент затронул «ограниченный объем пользовательских данных» и пострадавшие пользователи уже уведомляются.
Пока не раскрывается, какие именно типы информации попали в утечку, сколько пользователей затронуто и предъявляли ли ShinyHunters требования о выкупе. Журналисты Cybernews, анализировавшие опубликованные образцы, сообщают о присутствии в архиве как пользовательских данных, так и внутренних файлов, связанных с маркетингом и аналитикой.
Вектор атаки: SSO в Okta, AppsFlyer и облачные хранилища
Согласно данным издания BleepingComputer, ключевым элементом атаки стал скомпрометированный SSO-аккаунт в Okta. Okta — это провайдер управления цифровой идентичностью, который позволяет сотрудникам входить во множество внутренних систем по принципу Single Sign-On (SSO), то есть с помощью одной учетной записи.
Захват такого аккаунта фактически дает злоумышленнику «универсальный ключ» к целому набору корпоративных сервисов. В случае Match Group через скомпрометированный доступ хакеры проникли в систему маркетинговой аналитики AppsFlyer, а также в облачные хранилища Google Drive и Dropbox, где часто хранятся отчеты, выгрузки данных и рабочая документация.
Для первоначального захвата учетных данных, по информации СМИ, использовался фишинговый домен matchinternal[.]com, стилизованный под внутренний портал Match Group. Такие домены применяются для отправки фишинговых писем сотрудникам, перенаправляя их на поддельные страницы входа и перехватывая логины и пароли.
Параллельная атака на Bumble: слабое звено — подрядчик
Практически одновременно ShinyHunters заявили об атаке на конкурирующий дейтинговый сервис Bumble, опубликовав около 30 ГБ данных, якобы похищенных из Google Drive и Slack компании.
Bumble подтвердил факт инцидента, однако подчеркнул, что причиной стал взлом аккаунта одного из подрядчиков в результате фишинговой атаки. Скомпрометированная учетная запись имела ограниченные права и использовалась для кратковременного доступа к небольшой части сети. По заявлениям компании, команда безопасности быстро обнаружила и заблокировала активность, а данные пользователей, их аккаунты, приложение и личные сообщения не пострадали.
Этот эпизод иллюстрирует типичный риск современной ИТ-инфраструктуры: даже если основная компания хорошо защищена, уязвимость подрядчика или стороннего сервиса может стать удобной точкой входа. Такой подход злоумышленников все чаще рассматривается как атака на цепочку поставок (supply chain).
ShinyHunters и кампания атак через украденные данные Okta
Группа ShinyHunters за последние месяцы провела масштабную кампанию атак, нацеленных примерно на 100 организаций, используя украденные или скомпрометированные данные SSO в Okta. Среди компаний, оказавшихся под ударом, называются крупные SaaS‑поставщики: Atlassian, AppLovin, Canva, Epic Games, Genesys, HubSpot, Iron Mountain, RingCentral и ZoomInfo.
Такие инциденты показывают, насколько опасной становится компрометация провайдеров идентификации. При успешном взломе одного SSO-аккаунта злоумышленники могут получить доступ сразу к десяткам сервисов — от маркетинговых платформ до внутренних документов и инструментов разработки.
Риски для пользователей дейтинговых сервисов
Дейтинговые приложения обычно обрабатывают чувствительные категории данных: электронную почту, номер телефона, демографию, интересы, предпочтения, иногда геолокацию и подробную информацию о личной жизни. В совокупности такие данные могут быть использованы для шантажа, мошенничества и таргетированной социальной инженерии.
В случае с Match Group компания утверждает, что личная переписка и платежные данные пользователей не затронуты. Однако даже частичная утечка контактной информации и маркетинговых атрибутов повышает риск фишинговых атак: злоумышленники могут отправлять письма и сообщения, имитирующие официальные уведомления Tinder, OkCupid или Hinge, и просить «подтвердить аккаунт» или «обновить платежные данные».
Пользователям дейтинговых сервисов имеет смысл:
— сменить пароли и включить двухфакторную аутентификацию (желательно с использованием приложений-аутентификаторов, а не SMS);
— не использовать один и тот же пароль для разных сайтов и приложений, а хранить сложные комбинации в менеджере паролей;
— внимательно проверять адрес отправителя и домен ссылок в письмах, особенно если они содержат просьбы ввести логин, пароль или платежную информацию.
Случаи с Match Group и Bumble демонстрируют, что даже крупные технологические компании остаются уязвимыми перед сочетанием фишинга, компрометации SSO и слабых звеньев в цепочке подрядчиков. Организациям, работающим с чувствительными пользовательскими данными, критично усиливать защиту систем идентификации (Okta и аналоги), применять устойчивые к фишингу методы MFA (например, аппаратные ключи FIDO2), регулярно пересматривать права доступа подрядчиков и обучать персонал распознаванию целевых фишинговых атак. Пользователям же важно следить за уведомлениями сервисов, своевременно менять пароли и уделять больше внимания цифровой гигиене, чтобы минимизировать последствия подобных утечек.
