出会い系アプリ企業のBumbleとMatch Groupは最近、著名なサイバー犯罪グループが関与を主張するサイバーセキュリティインシデントに対応した。
Bumbleは、フィッシング攻撃で委託業者のアカウントが侵害され、同社が「ネットワークの一部への短時間の不正アクセス」と説明する事態が発生したことを受け、法執行機関に連絡したと述べた。
同社の広報担当者は、アクセスはその後遮断され、会員データベース、ユーザーアカウント、Bumbleアプリケーション、プライベートメッセージ、または出会いプロフィールには影響しなかったと語った。
Matchは今週初め、限られた量のユーザーデータに関わるサイバーセキュリティインシデントを経験したことをBloombergに確認し、影響を受けた顧客に通知していると述べた。広報担当者は、ログイン認証情報、金融情報、または私的な通信がアクセスされた兆候はないとした。
BumbleとMatchは、Recorded Future Newsからのコメント要請に応じなかった。
ShinyHuntersというサイバー犯罪グループが、制限付きまたは機密と表示されたファイルを含む数千件の社内Bumble文書を流出させたと報じられており、同グループは主にGoogle DriveとSlackから入手したと述べた。
ShinyHuntersはまた、Tinder、Hinge、OkCupidなどの出会い系サービスを運営するMatchに属する1,000万件の記録にアクセスしたとも主張した。同グループはこれらの主張をダークウェブのリークサイトに投稿した。
Cybernewsの研究者は、ShinyHuntersの投稿に添付されたデータサンプルを確認したところ、顧客の個人情報、一部の従業員情報、社内の企業データが含まれていたと述べた。
研究者によると、Hingeの出会い系アプリに関連するサンプルの1つには、マッチの一覧に加え、マッチしたユーザーのプロフィール情報(氏名や自己紹介文など)約100件の記録が含まれていた。ほかのファイルには、出会いプロフィールの一覧やプロフィール変更のログが含まれていたが、どのアプリに属するかが明確でない記録もあり、重複データやテストデータが含まれていた。
ShinyHuntersは、保険、小売、航空分野の大企業を標的にした高インパクトなキャンペーンで知られる、金銭目的の脅威アクターである。
9月初旬、FBIは、ShinyHuntersに関連するハッカーがクラウドソフトウェア提供企業Salesforceからデータを盗んだ後、組織に対して高額な身代金を要求して恐喝していると警告した。同グループは最近、データ分析企業Mixpanelへの攻撃も主張しており、それによりPornhubなどのプラットフォームへのアクセスが可能になったとしている。
出会い系アプリは、保有する個人データが機微であることから、サイバー犯罪者の標的となるケースが増えている。
7月には、女性がデート相手を匿名でレビューできるアプリTeaが、本人確認のために提出された自撮り画像を含む約72,000件のユーザー画像にハッカーがアクセスしたと述べた。9月には、ブラジルの出会い系アプリSapphosが、機微な個人データが露出したとされる欠陥をユーザーが発見した後、サービスを停止した。
翻訳元: https://therecord.media/bumble-match-dating-apps-data-breaches
