Um incidente de cibersegurança expôs dados de usuários de aplicativos de relacionamento controlados pelo Match Group. A empresa confirmou que informações foram acessadas de forma não autorizada, mas afirmou que o Tinder não foi afetado. Segundo a companhia, o ataque atingiu outras plataformas do grupo, como Hinge, Match e OkCupid.
De acordo com o Match Group, os invasores obtiveram uma “quantidade limitada de dados de usuários”. A empresa informou ainda que não há indícios de vazamento de credenciais de login, informações financeiras ou mensagens privadas. O acesso indevido foi rapidamente interrompido, e o caso segue sob investigação com apoio de especialistas externos. Usuários impactados estão sendo notificados.
As informações vieram a público após o grupo criminoso ShinyHunters divulgar 1,7 GB de arquivos compactados, alegando conter cerca de 10 milhões de registros relacionados aos aplicativos Hinge, Match e OkCupid. O grupo é conhecido por ataques anteriores envolvendo grandes empresas de tecnologia.
Segundo apuração do site BleepingComputer, os hackers utilizaram phishing de voz, técnica conhecida como vishing para enganar pessoas com acesso a sistemas corporativos e obter credenciais. Com isso, teriam conseguido acesso a uma conta da plataforma Okta, o que possibilitou a entrada em ferramentas de marketing, como a AppsFlyer, e em serviços de armazenamento em nuvem, incluindo Google Drive e Dropbox.
Uma análise preliminar feita pelo Cybernews aponta que os arquivos vazados contêm dados pessoais, como interações em perfis e históricos de alterações, além de registros internos da empresa e informações corporativas. Também foram identificados dados relacionados a assinaturas do Hinge, como identificadores de usuários, transações e valores pagos.
O ShinyHunters já esteve envolvido em outros episódios de vazamento e chantagem digital, incluindo um caso relacionado ao Pornhub. O grupo tem como alvo empresas que utilizam sistemas de login único (SSO) integrados a plataformas como Okta, Microsoft e Google.
