勒索软件组织ShinyHunters近日公开宣称,已成功窃取了Match集团旗下多款约会应用(如Hinge、OkCupid)的1000万条用户记录,以及连锁烘焙咖啡店潘纳面包店的1400万条用户数据。Match集团已确认发生网络安全事件,并正在对数据泄露情况进行深入调查。
根据ShinyHunters的说法,Match集团的数据涉及Appsflyer上的使用记录和数百份内部文件,但Match方面澄清,目前没有证据表明登录凭证、财务数据或私人聊天内容被盗取。然而,部分用户的个人身份信息(PII)和追踪数据确实处于风险之中,公司已启动受影响用户的通知流程。
对于潘纳面包店的泄露事件,ShinyHunters声称获取了包含个人身份信息的1400万条记录。该面包店向用户保证,黑客没有访问用户登录凭证、财务信息或私人通信的迹象,但该数据可用于丰富现有数据集,增加后续网络钓鱼攻击的精准度。
据报道,ShinyHunters似乎通过入侵单点登录(SSO)平台并利用语音克隆技术获得了访问权限,这种攻击向量正导致不同公司发生一系列安全事件。分析人士指出,约会应用数据泄露的后果可能比一般商业数据泄露更为敏感,涉及用户关系隐私和潜在的勒索风险。
Match集团和潘纳面包店均已采取措施应对,包括通知受影响用户并向相关部门报告。尽管两家公司都强调核心敏感数据(如密码和支付信息)未丢失,但个人身份信息(PII)的暴露依然是用户需要关注的重点。
安全专家建议,一旦发生数据泄露,用户应立即更改密码,并启用双因素认证(2FA),特别是依赖FIDO2标准的硬件密钥。此外,用户需要警惕冒充受影响平台进行诈骗的钓鱼尝试,并仔细核实所有联系渠道的真实性。
此次事件再次提醒企业界,在数字化转型中,对身份验证机制和第三方集成点的安全审计必须保持高度警惕。技术分析表明,利用新兴技术如语音克隆进行社会工程攻击的威胁正在显著增加。
