Usi Tinder, Hinge, Meetic o altre app di incontri? I tuoi dati potrebbero appena essere finiti nelle mani sbagliate

La riservatezza è la valuta più preziosa nell’era delle relazioni digitali, ma questa fiducia implicita tra utente e piattaforma è stata recentemente scossa da un massiccio attacco informatico.

Il noto gruppo criminale ShinyHunters ha rivendicato una vasta operazione di esfiltrazione dati che ha colpito l’anima del dating online: l’azienda chiamata Match Group.

La società, che gestisce giganti del settore come Tinder, Hinge, Match.com, OkCupid e Meetic, si trova ora a dover gestire una crisi che coinvolge potenzialmente dieci milioni di record.

Tuttavia, l’offensiva dei criminali informatici non si è fermata alla sfera sentimentale, estendendosi anche al settore della ristorazione e dell’automotive, dipingendo un quadro preoccupante sulla sicurezza.

Pane, amore e automobili: hacker rubano dati personali degli utenti

Le rivendicazioni apparse sui forum frequentati dal cybercrime sono state chiare: ShinyHunters afferma di aver sottratto milioni di dati relativi agli utenti di Hinge, Match e OkCupid, oltre a centinaia di documenti interni.

Match Group ha confermato l’incidente di sicurezza, avviando immediatamente le indagini con il supporto di esperti forensi esterni. Sebbene l’azienda abbia tenuto a precisare che non vi sono evidenze di compromissione per quanto riguarda le credenziali di accesso (password), i dati finanziari o le conversazioni private (le chat), la situazione rimane delicata.

Il materiale sottratto includerebbe informazioni identificabili personalmente (PII) e dati di tracciamento degli utenti. Anche se le chat più intime sembrano essere rimaste al sicuro, la semplice associazione di un nome reale, un indirizzo email o dati di geolocalizzazione a un profilo di incontri costituisce un rischio.

La natura stessa di queste piattaforme rende ogni violazione un evento potenzialmente traumatico per gli iscritti, che potrebbero temere ripercussioni sulla propria vita privata, lavorativa o familiare qualora la loro presenza su tali app venisse esposta pubblicamente.

Da Panera Bread al mercato dell’auto

Parallelamente all’attacco contro il gigante degli incontri, ShinyHunters ha colpito anche Panera Bread, nota catena americana di bakery-café. In questo frangente, i criminali sostengono di aver compromesso ben 14 milioni di record contenenti informazioni personali.

Anche in questo caso, l’azienda ha rassicurato la clientela sul fatto che password e dati bancari non sono stati toccati, ma nomi, email, indirizzi fisici e numeri di telefono sono finiti nel calderone dei dati rubati.

La lista delle vittime si allunga includendo anche piattaforme come CarMax ed Edmunds, siti di riferimento per la compravendita e la recensione di automobili, oltre a Crunchbase e SoundCloud.

Questo approccio “a strascico” evidenzia come l’obiettivo del gruppo non sia un settore specifico, ma l’accumulo massivo di dati anagrafici e di contatto, merce preziosa per alimentare future campagne di truffa.

Ingegneria sociale e furto di identità vocale

Ciò che rende questa ondata di attacchi particolarmente insidiosa è la metodologia utilizzata. Non siamo di fronte al classico sfruttamento di un bug software sconosciuto, ma a una manipolazione dell’elemento umano. ShinyHunters e i gruppi affiliati stanno utilizzando tecniche avanzate di “vishing” (phishing vocale), spesso potenziate dall’intelligenza artificiale per clonare le voci.

I criminali contattano i dipendenti delle aziende bersaglio fingendosi personale del supporto IT e, attraverso l’inganno, riescono a farsi consegnare codici di accesso o a indurre la vittima a inserire le proprie credenziali su falsi portali di login.

L’obiettivo primario sono le piattaforme di Single-Sign-On (SSO) come Okta, Microsoft o Google, che gestiscono gli accessi centralizzati ai servizi aziendali. Una volta ottenuto l’accesso a un account SSO, gli attaccanti hanno le chiavi per entrare in molteplici sistemi interni, come accaduto per Match Group, dove la compromissione di un account ha aperto le porte agli strumenti di analisi marketing e agli archivi cloud.

Come difendersi?

Di fronte a minacce che superano le classiche barriere di sicurezza, la protezione dell’utente finale richiede una nuova consapevolezza. La prima linea di difesa resta la gestione delle password: cambiarle regolarmente e utilizzarne di complesse e uniche per ogni servizio, affidandosi a un gestore di password, rende vano il furto di vecchie credenziali.

Tuttavia, in un’epoca in cui anche gli SMS di conferma possono essere intercettati o aggirati tramite ingegneria sociale, gli esperti consigliano il passaggio a sistemi di autenticazione a due fattori resistenti al phishing, come le chiavi di sicurezza hardware FIDO2 o le passkeys.

È inoltre fondamentale mantenere un elevato livello di scetticismo verso qualsiasi comunicazione urgente, sia essa telefonica o via email, che richieda azioni immediate sul proprio account.

Verificare sempre l’identità del mittente attraverso canali ufficiali e monitorare attivamente la propria identità digitale sono passi necessari per mitigare i rischi in un ecosistema digitale sempre più ostile.