As empresas responsáveis por aplicativos de relacionamento Bumble e Match Group confirmaram, nos últimos dias, a apuração de incidentes de segurança digital após um conhecido grupo hacker afirmar ter obtido acesso a dados internos e informações de usuários das plataformas.
No caso do Bumble, a companhia informou que comunicou o episódio às autoridades policiais depois que a conta de um fornecedor terceirizado foi comprometida por meio de um ataque de phishing. De acordo com a empresa, o incidente resultou em um acesso não autorizado, de curta duração, a uma parcela limitada de sua infraestrutura. Em declaração à Bloomberg, o Bumble afirmou que o acesso já foi totalmente bloqueado e que não houve comprometimento do banco de dados de membros, tampouco de contas de usuários, mensagens privadas, perfis de namoro ou do funcionamento do aplicativo.
O Match Group, por sua vez, reconheceu ter enfrentado um incidente envolvendo um volume restrito de dados de usuários e informou que está notificando as pessoas potencialmente afetadas. A empresa ressaltou que não há evidências de que credenciais de acesso, dados financeiros ou comunicações privadas tenham sido expostos. O grupo é responsável por plataformas amplamente utilizadas, como Tinder, Hinge e OkCupid.
As investigações ganharam maior visibilidade após o grupo hacker ShinyHunters alegar o vazamento de milhares de documentos internos do Bumble, incluindo arquivos classificados como confidenciais ou de uso restrito. Segundo os criminosos, os dados teriam sido obtidos principalmente a partir de ferramentas corporativas como Google Drive e Slack. O grupo também afirmou ter acessado cerca de 10 milhões de registros relacionados ao Match Group, divulgando as alegações em um fórum da dark web.
Pesquisadores da Cybernews analisaram amostras de dados anexadas às publicações do grupo e identificaram informações pessoais de clientes, alguns dados de funcionários e documentos internos das empresas. Uma das amostras associadas ao aplicativo Hinge continha registros de correspondências (“matches”) e aproximadamente 100 perfis de usuários, incluindo nomes e descrições biográficas. Outros arquivos listavam perfis de namoro e históricos de alterações, embora parte do material apresentasse duplicações ou aparentasse se tratar de dados de teste.
O ShinyHunters é conhecido por campanhas de grande repercussão com foco em ganhos financeiros, tendo como alvos empresas dos setores de seguros, varejo e aviação. Em setembro, o FBI alertou que hackers ligados ao grupo estavam praticando extorsão após o roubo de dados de um provedor de software em nuvem. Mais recentemente, o grupo também reivindicou um ataque a uma empresa de análise de dados, alegando acesso a plataformas amplamente utilizadas.
Especialistas em segurança da informação alertam que aplicativos de namoro têm se tornado alvos recorrentes de ataques cibernéticos, devido ao alto volume de dados pessoais e sensíveis que armazenam. Em julho, o aplicativo Tea informou que cerca de 72 mil imagens de usuários foram acessadas de forma indevida, incluindo selfies utilizadas para verificação de identidade. Já em setembro, o aplicativo brasileiro Sapphos encerrou suas atividades após usuários identificarem uma falha que teria exposto informações sensíveis.
