Match Group confirma vazamento de 1,7 GB com dados de usuários do OkCupid, Match e Hinge

São Paulo — O Match Group, conglomerado que controla alguns dos principais aplicativos de relacionamento do mercado, confirmou que sofreu um incidente de cibersegurança que expôs dados de usuários do OkCupid, Match e Hinge. Segundo a companhia, o serviço mais popular da empresa, o Tinder, não foi atingido.

Dimensão do ataque

De acordo com nota encaminhada ao site BleepingComputer, invasores obtiveram acesso não autorizado e conseguiram copiar aproximadamente 1,7 GB de arquivos comprimidos. O material, divulgado pelo grupo criminoso ShinyHunters, teria cerca de 10 milhões de registros envolvendo informações de clientes das três plataformas afetadas.

O Match Group afirma que o volume de dados roubado é “limitado” e que não há sinais de exposição de credenciais de login, dados financeiros ou conversas privadas. A empresa reforça ter atuado “rapidamente” para bloquear o acesso indevido e iniciou investigação com apoio de especialistas externos em segurança digital.

Como os hackers invadiram

Levantamento do BleepingComputer indica que os criminosos exploraram uma conta da Okta, serviço de autenticação por logins únicos (SSO). O ponto de entrada teria sido obtido por meio de phishing de voz — técnica também conhecida como vishing —, na qual o golpista liga para um funcionário com credenciais privilegiadas e o convence a repassar dados de acesso.

Com a conta da Okta comprometida, os invasores alcançaram um cadastro na plataforma de marketing AppsFlyer, além de repositórios em nuvem hospedados no Google Drive e no Dropbox. A partir daí, arquivos internos e informações de usuários foram extraídos.

O que foi exposto

Análise conduzida pelo site Cybernews em uma amostra do pacote vazado aponta a presença de:

• dados pessoais de usuários, como listas de matches e alterações de perfil;
• arquivos corporativos, incluindo documentação interna e cadastros de funcionários;
• informações de assinatura do Hinge, com IDs de usuário, identificadores de transação e valores pagos.

Até o momento, não há confirmação de que senhas, números de cartão de crédito ou histórico de mensagens tenham sido comprometidos. Ainda assim, especialistas recomendam atenção redobrada a tentativas de golpe, como e-mails falsos solicitando atualização de cadastro.

Medidas adotadas pela empresa

O Match Group declarou que os usuários potencialmente afetados já estão sendo notificados. A companhia não detalhou o total de pessoas impactadas nem informou prazo para conclusão da investigação. Também não mencionou mudanças imediatas em seus sistemas, mas sinalizou que “continua aprimorando” protocolos de segurança.

Quem é o ShinyHunters

O coletivo responsável pelo vazamento ganhou notoriedade em 2020, quando começou a comercializar bases de dados corporativos em fóruns de hackers. Mais recentemente, o grupo esteve ligado a uma tentativa de chantagem envolvendo o site Pornhub. Relatórios de empresas de segurança indicam que o ShinyHunters tem direcionado ataques a companhias que utilizam soluções SSO da Okta, da Microsoft e do Google, apostando em engenharia social para contornar camadas de proteção.

Recomendações para os usuários

Embora a empresa assegure que logins e dados financeiros não foram vazados, especialistas em segurança sugerem:

• ativar a autenticação em dois fatores nos aplicativos de relacionamento;
• monitorar faturas de cartão de crédito em busca de cobranças desconhecidas;
• desconfiar de e-mails ou mensagens que peçam confirmação de dados pessoais.

O incidente reforça a tendência de ataques voltados a grandes bases de usuários e destaca a importância de práticas de segurança como atualizações periódicas de senha e verificação de identidade em mais de um fator.

O Match Group diz que manterá comunicação com as autoridades competentes e promete atualizar a comunidade conforme novos detalhes surgirem.