Match Group, empresa responsável por diversos serviços populares de namoro online como Tinder, Match.com, Meetic, OkCupid e Hinge, confirmou um incidente de segurança que comprometeu dados de usuários.
Segundo a companhia, hackers roubaram uma “quantidade limitada de dados de usuários” depois que o grupo de ameaças ShinyHunters vazou 1,7 GB de arquivos comprimidos, supostamente contendo 10 milhões de registros dos usuários do Hinge, Match e OkCupid, além de documentos internos.
Em comunicado, um porta-voz da Match Group afirmou estar ciente das alegações relacionadas ao incidente recentemente identificado.
“Levamos a segurança e a proteção dos nossos usuários muito a sério e agimos rapidamente para encerrar o acesso não autorizado”, declarou o representante.
A investigação segue em andamento, com o apoio de especialistas externos.
Até o momento, não há indícios de que os hackers tenham obtido credenciais de login, informações financeiras ou comunicações privadas dos usuários.
“Acreditamos que o incidente afetou uma quantidade limitada de dados e já iniciamos o processo de notificação aos indivíduos, quando apropriado”, informou a Match Group.
A empresa é uma gigante no mercado de namoro online, com receita anual de US$ 3,5 bilhões e uma base ativa estimada em mais de 80 milhões de usuários em suas plataformas.
Esse episódio faz parte de uma nova campanha de voice phishing (vishing) do grupo ShinyHunters, que mira contas Single Sign-On (SSO) em provedores como Okta, Microsoft e Google, atacando mais de cem organizações de alto valor por meio de links para portais falsos de login interno.
No caso da Match Group, o ataque ocorreu após a invasão de uma conta Okta SSO que permitiu acesso a ferramentas internas da empresa, como a plataforma de análise de marketing AppsFlyer, além dos serviços de armazenamento em nuvem Google Drive e Dropbox.
Segundo informações, o ataque de engenharia social utilizou um domínio phishing chamado matchinternal.com.
Os hackers afirmam que os dados incluem informações pessoais identificáveis (PII), mas em quantidade limitada, sendo a maioria relacionada a dados de rastreamento.
Especialistas recomendam que empresas reforcem suas defesas contra ataques baseados em engenharia social adotando soluções resistentes a phishing.
“Embora este incidente não tenha origem em vulnerabilidades nos produtos ou infraestrutura dos fornecedores, recomendamos fortemente a adoção de MFA (autenticação multifator) resistente a phishing, como chaves de segurança FIDO2 ou passkeys, pois essas proteções são eficazes contra ataques de engenharia social, diferentemente da autenticação via SMS ou push notification”, destaca Charles Carmakal, CTO da Mandiant.
Além disso, “administradores devem implementar políticas rigorosas de autorização de aplicativos e monitorar logs para identificar atividades anômalas na API ou cadastros não autorizados de dispositivos”, complementa Carmakal.
Em postagem recente, a Okta reforçou a importância da resistência ao phishing para proteger o acesso aos recursos.
“Ao usar Okta para autenticação corporativa, recomendamos registrar os usuários no Okta FastPass, passkeys ou ambos, para garantir redundância”, explica Moussa Diallo, pesquisador em Threat Intelligence da Okta.
Diallo também sugere bloquear acesso a partir de serviços de anonimização frequentemente usados por agentes maliciosos, utilizando zonas de rede e listas de controle de acesso ao tenant.
“O segredo é conhecer a origem dos seus pedidos legítimos e permitir acesso apenas a essas redes”, afirma.
O pesquisador cita ainda que algumas instituições financeiras, como o Monzo Bank, e exchanges de criptomoedas já testam verificações via chamada ao vivo, nas quais o usuário pode confirmar em um aplicativo oficial se está realmente em contato com um representante autorizado da empresa.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...