Match Group, le géant de la rencontre en ligne, qui détient notamment des applications populaires comme Tinder, Hinge, Match.com ou encore Meetic, a été victime d'une cyberattaque. Le groupe de pirates ShinyHunters est parvenu à mettre la main sur les données d'utilisateur. Voici ce que l'on sait.

Une fuite de données via des outils tiers

L'alerte a été donnée lorsque le groupe de menace ShinyHunters a divulgué une archive compressée de 1,7 Go. Selon les pirates, ce fichier contiendrait pas moins de 10 millions d'enregistrements provenant d'utilisateurs de Hinge, Match et OkCupid, ainsi que divers documents internes. Tinder serait donc épargné par cet incident de sécurité.

De son côté, Match Group a confirmé l'intrusion, tout en cherchant à clarifier la situation auprès de nos confrères de BleepingComputer. Un porte-parole du groupe a déclaré : "Nous sommes au courant des allégations faites en ligne concernant un incident de sécurité récemment identifié. Match Group prend la sécurité de ses utilisateurs au sérieux et a agi rapidement pour mettre fin à l'accès non autorisé."

L'enquête, menée avec l'assistance d'experts externes, a permis de déterminer que les pirates n'ont pas eu directement accès aux systèmes internes de Match Group. D'ailleurs, l'entreprise Match Groupe assure qu'il n'y a aucune indication que les pirates aient accédé aux identifiants de connexion (mots de passe), aux données bancaires ou encore aux communications privées des utilisateurs.

L'intrusion serait liée à la compromission d'un compte SSO via la plateforme Okta. Cet accès a permis aux attaquants d'accéder à AppsFlyer, une solution d'analyse marketing utilisée par Match Group, ainsi qu'à des données stockées sur des espaces Google Drive et Dropbox. Au sein des données compromises, il y aurait donc avant tout des informations de suivi (pour du tracking), même si les pirates évoquent des centaines de documents internes.

Match Group précise : "Nous pensons que l'incident affecte une quantité limitée de données utilisateur, et nous sommes déjà en train de notifier les individus, le cas échéant."

Okta : le terrain de chasse des ShinyHunters

En réalité, ce piratage n'est pas un cas isolé : Match Group est une victime de plus associée à une vaste campagne de vishing orchestrée par le groupe ShinyHunters. Depuis un bon moment, ces pirates ciblent activement les accès SSO liés aux solutions de chez Okta, Microsoft et Google.

Le vishing (hameçonnage vocal) est un vecteur d'attaque redoutable car il contourne souvent les protections techniques classiques en ciblant directement les utilisateurs. Dans le cas de Match Group, les attaquants ont piégé la victime avec du phishing en s'appuyant sur le nom de domaine matchinternal[.]com.

Conscient d'être indirectement dans le viseur des cybercriminels, Okta a d'ailleurs publié récemment un article pour évoquer cette menace et comment s'en protéger. L'occasion de rappeler l'importance d'utiliser des facteurs d'authentification résistants au phishing.

