Les services de rencontres en ligne Tinder, Match.com, Meetic, OkCupid, et Bumble ont été piratés par le groupe de ransomware ShinyHunters, en exploitant SSO et le clonage vocal

Le groupe de ransomware ShinyHunters a revendiqué une série de cyberattaques visant de grandes plateformes grand public, dont les services de rencontre exploités par Match Group (Tinder, Hinge, OkCupid et Meetic), ainsi que la chaîne de boulangeries-cafés Panera Bread. Les pirates auraient exploité les systèmes d'authentification unique (SSO) et des techniques de clonage vocal pour accéder à 10 millions d'enregistrements appartenant à Match Group et à 14 millions d'enregistrements provenant de Panera Bread. Les chercheurs en sécurité soulignent que, bien que les deux incidents découlent de techniques d'intrusion comparables, leur impact potentiel sur les personnes est très différent, allant des risques pour la réputation liés aux profils de rencontre à une exposition accrue au phishing et à l'usurpation d'identité.

Un ransomware (ou rançongiciel) est un type de logiciel malveillant qui chiffre les données personnelles de la victime jusqu'à ce qu'une rançon soit versée. Des monnaies numériques difficiles à tracer, telles que paysafecard ou Bitcoin et d'autres cryptomonnaies, sont couramment utilisées pour le paiement des rançons, ce qui rend difficile la recherche et la poursuite des auteurs. Il arrive parfois que les fichiers originaux puissent être récupérés sans payer la rançon en raison d'erreurs de mise en œuvre, de fuites de clés cryptographiques ou d'une absence totale de chiffrement dans le ransomware.

Ces cyberattaques s’inscrivent dans un contexte plus large de montée en puissance des opérations de rançongiciel. Selon le rapport State of Ransomware de Malwarebytes, le nombre d'attaques de ransomware a augmenté de plus de 60 % en 2024, avec une hausse de 63 % aux États-Unis et de 67 % au Royaume-Uni. Cette évolution reflète à la fois la professionnalisation des groupes criminels et l'accessibilité croissante de ces outils. La part des attaques menées par des groupes de cybercriminels ne figurant pas dans le top 15 est ainsi passée de 25 % à 31 % en l'espace d'un an.

ShinyHunters est un groupe notoire de pirates informatiques et d'extorqueurs black hat qui aurait été formé en 2019 et qui serait impliqué dans un nombre considérable de violations de données. Le groupe extorque souvent les entreprises qu'il a piratées. Si celles-ci ne paient pas la rançon, les informations volées sont vendues ou souvent divulguées sur le dark web. Le groupe utilise des tactiques très agressives pour amener ses victimes à se plier à ses exigences.

Le groupe de rançongiciels ShinyHunters a récemment revendiqué le vol de données contenant des millions d'enregistrements appartenant à Match Group et à la chaîne de boulangeries-cafés Panera Bread.

Match Group, qui gère plusieurs services de rencontres en ligne populaires tels que Tinder, Match.com, Meetic, OkCupid et Hinge, a confirmé le cyberincident et enquête actuellement sur cette violation de données. Panera Bread a également confirmé qu'un incident s'était produit et a alerté les autorités. « Les données concernées sont des informations de contact », ont-ils déclaré dans un communiqué.

ShinyHunters semble avoir obtenu l'accès via des plateformes d'authentification unique (SSO) et avoir utilisé des techniques de clonage vocal, entraînant une augmentation du nombre de violations dans différentes entreprises. Cependant, toutes ces violations n'ont pas le même impact.


L'impact

Pour le groupe Match, ShinyHunters affirme avoir obtenu « plus de 10 millions d'enregistrements de données d'utilisation de Hinge, Match et OkCupid provenant d'Appsflyer et de centaines de documents internes ».

Match affirme qu'il n'y a aucune preuve que des identifiants de connexion, des données financières ou des conversations privées aient été volés, mais que les informations personnelles identifiables (PII) et les données de suivi de certains utilisateurs sont concernées. Un processus de notification a été mis en place.

Pour Panera Bread, ShinyHunters affirme avoir compromis 14 millions d'enregistrements contenant des informations personnelles identifiables. Panera Bread rassure ses utilisateurs en affirmant qu'il n'y a aucune indication que les pirates aient accédé aux identifiants de connexion, aux informations financières ou aux communications privées des utilisateurs.

ShinyHunters a également piraté Bumble, Carmax et Edmunds, entre autres, mais Panera Bread et Match Group sont deux exemples qui ont des conséquences très différentes pour les utilisateurs.

Lorsque l'activité d'un utilisateur sur une application de rencontre est compromise, l'impact peut être profondément personnel. Les préoccupations peuvent aller de la découverte des profils de rencontre par le partenaire, les membres de la famille ou l'employeur, au risque de doxxing. Pour beaucoup, la stigmatisation associée à certaines applications peut engendrer la peur d'être démasqué, accusé d'infidélité, voire d'être victime d'extorsion.

L'impact de la violation de Panera Bread est quant à lui très différent. « Je viens de commander un sandwich et des criminels ont maintenant mon adresse personnelle ? » Ce type de données est utile pour enrichir les ensembles de données existants. Et plus les criminels en savent, plus il leur est facile et efficace de cibler les utilisateurs dans le cadre d'attaques de hameçonnage.

Quelles données provenant d'applications de rencontre ont été divulguées ?

L'analyse de l'extrait de données joint au message publié par ShinyHunters a révélé que les pirates avaient téléchargé une série d'échantillons contenant des données personnelles de clients, des informations sur les employés et sur l'entreprise.

Par exemple, un échantillon couvrant l'application de rencontre Hinge comprend des documents répertoriant les correspondances Hinge, ainsi qu'une centaine d'enregistrements contenant les informations de profil des comptes correspondants, telles que les noms et les biographies.

Il existe également des données sur les abonnements Hinge, telles que :

• Les identifiants utilisateur
• Les identifiants de transaction
• Les montants payés
• Les installations bloquées de Hinge avec les adresses IP et les emplacements
  

Les données transactionnelles font très probablement référence aux utilisateurs qui paient pour des services supplémentaires sur l'application, tels que des likes supplémentaires, un accès plus large aux profils des utilisateurs et d'autres informations.

« L'échantillon comprend des listes de profils de rencontre, des journaux des modifications apportées aux profils, mais certains documents n'indiquent pas à quelle application de rencontre appartiennent les enregistrements. De nombreux champs sont remplis avec des données de test et des doublons. Cependant, les numéros de téléphone et les jetons d'authentification sont également présents et ne font pas l'objet de doublons », ont indiqué les résultats de l'analyse.

Les informations exposées comprennaient également des documents qui semblent provenir de Vividi, une application de rencontre par chat vidéo destinée au public indien, notamment des enregistrements d'achats effectués dans l'application.

Bien que ces enregistrements contiennent des identifiants, les spécialistes estiment qu'ils ne révèlent pas beaucoup d'informations personnelles sur les utilisateurs.

D'autres exemples d'ensembles de données révèlent également des documents d'OkCupid contenant ce qui semble être des informations sur le processus de débogage de l'application, ainsi que des listes d'adresses e-mail d'employés et des documents internes de l'entreprise, tels que des contrats entre ses partenaires.

Se protéger après une violation de données

Si vous pensez avoir été victime d'une violation de données, voici les mesures que vous pouvez prendre pour vous protéger :

• Vérifiez les conseils de l'entreprise. Chaque violation est différente, alors vérifiez auprès de l'entreprise pour savoir ce qui s'est passé et suivez les conseils spécifiques qu'elle vous donne.
• Changez votre mot de passe. Vous pouvez rendre un mot de passe volé inutile pour les voleurs en le changeant. Choisissez un mot de passe fort que vous n'utilisez pour rien d'autre. Mieux encore, laissez un gestionnaire de mots de passe en choisir un pour vous.
• Activez l'authentification à deux facteurs (2FA). Si possible, utilisez une clé matérielle compatible FIDO2, un ordinateur portable ou un téléphone comme deuxième facteur. Certaines formes de 2FA peuvent être piratées aussi facilement qu'un mot de passe, mais la 2FA qui repose sur un appareil FIDO2 ne peut pas être piratée.
• Méfiez-vous des usurpateurs d'identité. Les voleurs peuvent vous contacter en se faisant passer pour la plateforme piratée. Consultez le site web officiel pour voir s'il contacte les victimes et vérifiez l'identité de toute personne qui vous contacte via un autre canal de communication.
• Prenez votre temps. Les attaques par hameçonnage usurpent souvent l'identité de personnes ou de marques que vous connaissez et utilisent des thèmes qui requièrent une attention urgente, tels que des livraisons manquées, des suspensions de compte et des alertes de sécurité.
• Envisagez de ne pas enregistrer les informations relatives à votre carte bancaire. Il est certes plus pratique de laisser les sites mémoriser ces informations, mais cela augmente les risques en cas de violation des données d'un commerçant.
• Mettez en place un système de surveillance d'identité qui vous alerte si vos informations personnelles sont vendues illégalement en ligne et vous aide à vous rétablir après coup.
  

Vous pouvez également utiliser l'analyse gratuite Digital Footprint de Malwarebytes pour savoir si vos informations personnelles sont exposées en ligne.

Au-delà de l’ampleur technique de l’attaque, cet épisode remet également en lumière les fragilités structurelles des modèles économiques des applications de rencontres, largement fondés sur l’[URL="https://securite.developpez.com/actu/356881/Les-applications-de-rencontres-avides-de-donnees-vendent-vos-donnees-personnelles-elles...