A finals de gener de 2026, el grup d’extorsió ShinyHunters va publicar un arxiu comprimit d’1,7 GB al seu lloc de filtracions reclamant el robatori d’uns 10 milions de registres d’usuaris de les aplicacions de cites de Match Group: Hinge, Tinder, OkCupid i Match. La publicació, datada entre el 27 i el 28 de gener de 2026, incloïa a més documentació interna de la companyia.
Què va passar i a qui afecta
No es tracta d’una vulnerabilitat de programari (no hi ha cap CVE assignat), sinó d’un incident d’accés no autoritzat mitjançant enginyeria social. Segons la informació disponible, els atacants van executar una campanya de vishing (phishing telefònic) que va comprometre les credencials d’inici de sessió únic (SSO) d’Okta d’un empleat. Per fer-ho van emprar un domini fraudulent, matchinternal.com, que imitava la infraestructura interna corporativa.
Amb aquestes credencials, els atacants van accedir a panells interns i a la plataforma d’analítica de màrqueting AppsFlyer, així com a emmagatzematge al núvol. Aquest incident s’emmarca en una campanya més àmplia de ShinyHunters dirigida a entorns SSO que, segons el grup, va afectar més d’un centenar d’organitzacions, incloent-hi comptes d’Okta, Microsoft i Google.
Els afectats són els usuaris de les apps de Match Group les dades dels quals es trobaven als sistemes accessibles. Match Group va afirmar que la bretxa va implicar “una quantitat limitada de dades d’usuari”, consistents principalment en informació de seguiment (tracking): telèfons, correus electrònics, identificadors d’usuari i adreces IP. L’empresa va subratllar que no es van accedir a credencials d’inici de sessió, informació financera ni comunicacions privades, i va disputar les afirmacions dels atacants que s’haguessin compromès arxius de Google Drive i Dropbox.
Gravetat
La gravetat és alta. Tot i que no es van filtrar contrasenyes ni dades bancàries, la combinació de telèfon, correu, ID d’usuari i IP, lligada a aplicacions de cites, és material molt sensible: facilita campanyes de phishing dirigit, extorsió i doxing contra persones concretes. L’ús del vishing contra l’SSO demostra que la baula feble no va ser la tecnologia, sinó el factor humà combinat amb una autenticació que no resistia la suplantació.
Mitigació i resposta
Match Group va declarar que va actuar “amb rapidesa per acabar amb l’accés no autoritzat” i que ja estava notificant les persones afectades “segons correspongui”, amb el suport d’experts de seguretat externs.
Per a les organitzacions que vulguin prevenir incidents similars, les recomanacions dels experts són clares:
- Adoptar autenticació resistent al phishing com claus de seguretat FIDO2 o passkeys, en lloc d’OTP per SMS o apps, vulnerables al vishing.
- Aplicar polítiques estrictes d’autorització d’aplicacions i controls d’accés a la xarxa per limitar l’abast d’un compte compromès.
- Formar el personal davant de campanyes de vishing i verificar sempre per canals independents qualsevol sol·licitud de credencials.
Per als usuaris d’aquestes apps, convé desconfiar de correus o trucades que esmentin l’incident, no reutilitzar contrasenyes i activar l’autenticació de doble factor més robusta disponible.