Match Group เจ้าของบริการหาคู่ออนไลน์ยอดนิยมหลายแห่ง เช่น Tinder, Match.com, Meetic, OkCupid และ Hinge ได้ยืนยันเหตุการณ์ความปลอดภัยทางไซเบอร์ที่ทำให้ข้อมูลผู้ใช้ถูกบุกรุก กลุ่มภัยคุกคาม ShinyHunters ได้เผยแพร่ไฟล์บีบอัดขนาด 1.7 GB ซึ่งอ้างว่ามีบันทึกข้อมูลผู้ใช้ Hinge, Match และ OkCupid จำนวน 10 ล้านรายการ รวมถึงเอกสารภายใน การสอบสวนกำลังดำเนินอยู่ แต่เบื้องต้นเชื่อว่าไม่มีการเข้าถึงข้อมูลประจำตัวสำหรับล็อกอิน, ข้อมูลทางการเงิน หรือการสื่อสารส่วนตัวของผู้ใช้
Severity: สูง
System Impact:
- ข้อมูลผู้ใช้ของ Match Group
- บริการหาคู่ออนไลน์ Tinder
- บริการหาคู่ออนไลน์ Match.com
- บริการหาคู่ออนไลน์ Meetic
- บริการหาคู่ออนไลน์ OkCupid
- บริการหาคู่ออนไลน์ Hinge
- บัญชี Okta Single Sign-On (SSO)
- อินสแตนซ์การวิเคราะห์ทางการตลาด AppsFlyer ของ Match Group
- บัญชีจัดเก็บข้อมูลบนคลาวด์ Google Drive
- บัญชีจัดเก็บข้อมูลบนคลาวด์ Dropbox
Technical Attack Steps:
- กลุ่มภัยคุกคาม ShinyHunters ได้เริ่มแคมเปญฟิชชิ่งด้วยเสียง (vishing) โดยมุ่งเป้าไปที่บัญชี Single Sign-On (SSO)
- บัญชี Okta SSO ของ Match Group ถูกบุกรุก
- การเข้าถึงบัญชี Okta ที่ถูกบุกรุกทำให้ผู้โจมตีสามารถเข้าถึงอินสแตนซ์การวิเคราะห์ทางการตลาด AppsFlyer รวมถึงบัญชี Google Drive และ Dropbox ของบริษัท
- ผู้โจมตีใช้โดเมนฟิชชิ่ง ‘matchinternal.com’
- ข้อมูลผู้ใช้จำนวนจำกัด รวมถึงข้อมูลระบุตัวตนส่วนบุคคล (PII) และข้อมูลการติดตาม ได้ถูกขโมยไป
- ข้อมูลที่ถูกขโมย (ไฟล์บีบอัด 1.7 GB ซึ่งประกอบด้วยบันทึก 10 ล้านรายการ) ได้ถูก ShinyHunters รั่วไหลในภายหลัง
Recommendations:
Short Term:
- บริษัทควรแจ้งเตือนบุคคลที่ได้รับผลกระทบตามความเหมาะสม
- ดำเนินการสอบสวนเหตุการณ์อย่างต่อเนื่องด้วยความช่วยเหลือจากผู้เชี่ยวชาญภายนอก
- ยุติการเข้าถึงโดยไม่ได้รับอนุญาตอย่างรวดเร็ว (Match Group ได้ดำเนินการแล้ว)
Long Term:
- มุ่งสู่การใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่ทนทานต่อฟิชชิ่ง เช่น FIDO2 security keys หรือ passkeys เนื่องจากมีความทนทานต่อการโจมตีทางวิศวกรรมสังคมมากกว่าการยืนยันตัวตนแบบ push-based หรือ SMS
- ผู้ดูแลระบบควรบังคับใช้นโยบายการอนุญาตแอปพลิเคชันที่เข้มงวด
- ตรวจสอบบันทึก (logs) สำหรับกิจกรรม API ที่ผิดปกติ หรือการลงทะเบียนอุปกรณ์ที่ไม่ได้รับอนุญาต
- ตั้งค่า Network Zones หรือ Tenant Access Control Lists เพื่อปฏิเสธการเข้าถึงผ่านบริการที่ไม่เปิดเผยตัวตนที่ผู้ไม่ประสงค์ดีนิยมใช้
- เมื่อใช้ Okta สำหรับการยืนยันตัวตนของพนักงาน ควรลงทะเบียนผู้ใช้ใน Okta FastPass, passkeys หรือทั้งสองอย่าง เพื่อวัตถุประสงค์ในการป้องกันซ้ำซ้อน
- พิจารณาการนำระบบตรวจสอบการโทรแบบเรียลไทม์ (live caller checks) มาใช้ ซึ่งผู้ใช้สามารถยืนยันในแอปพลิเคชันมือถืออย่างเป็นทางการของบริษัทได้ว่ามีตัวแทนที่ได้รับอนุญาตกำลังสนทนาอยู่กับพวกเขา
Share this content: