Match Group, perusahaan induk dari sejumlah layanan kencan online populer seperti Tinder, Hinge, OkCupid, dan Match.com, mengonfirmasi adanya insiden keamanan siber yang menyebabkan sebagian data pengguna diakses secara tidak sah.
Konfirmasi ini muncul setelah kelompok peretas ShinyHunters mengklaim telah membocorkan 1,7 GB data terkompresi yang diduga berisi sekitar 10 juta catatan pengguna dari Hinge, Match, dan OkCupid, termasuk sejumlah dokumen internal perusahaan.
Data Dicuri, Tapi Kredensial Aman
Dalam pernyataannya kepada media, juru bicara Match Group mengatakan bahwa perusahaan menyadari klaim kebocoran tersebut dan telah segera menghentikan akses tidak sah yang terdeteksi.
Match Group menegaskan bahwa:
- Tidak ada bukti kata sandi login, informasi keuangan, maupun komunikasi pribadi pengguna yang diakses peretas
- Insiden ini hanya berdampak pada sejumlah kecil data pengguna
- Proses investigasi masih berlangsung dengan bantuan pakar keamanan eksternal
- Pengguna yang terdampak akan diberi notifikasi secara bertahap
Sebagai salah satu raksasa industri kencan online dengan pendapatan tahunan sekitar US$3,5 miliar dan basis pengguna aktif lebih dari 80 juta orang, insiden ini menjadi sorotan besar di komunitas keamanan siber.
Akses Lewat Okta SSO dan Rekayasa Sosial
Informasi yang dihimpun menunjukkan bahwa peretas memperoleh akses setelah mengompromikan akun single sign-on (SSO) Okta, yang kemudian memberi mereka jalan masuk ke:
- Sistem AppsFlyer (analitik pemasaran)
- Penyimpanan cloud Google Drive dan Dropbox
Serangan ini merupakan bagian dari kampanye vishing (voice phishing) yang lebih luas, menargetkan akun SSO milik Okta, Microsoft, dan Google di lebih dari seratus organisasi bernilai tinggi. Domain phishing yang digunakan dalam kasus Match Group dilaporkan adalah matchinternal.com, yang menyamar sebagai portal login internal.
Para pelaku menyebutkan bahwa data yang dicuri tidak terlalu sensitif, sebagian besar berupa informasi pelacakan, meskipun tetap berpotensi disalahgunakan.
Rekomendasi Keamanan: MFA Tahan Phishing
Pakar keamanan menekankan bahwa serangan ini bukan disebabkan oleh celah teknis pada produk vendor, melainkan oleh rekayasa sosial. Oleh karena itu, perusahaan disarankan untuk menerapkan autentikasi yang tahan phishing.
CTO Mandiant, Charles Carmakal, menyarankan penggunaan:
- FIDO2 security key
- Passkey
- MFA berbasis perangkat keras yang tidak mudah ditipu dibanding SMS atau push notification
Selain itu, administrator IT juga disarankan:
- Menerapkan kebijakan otorisasi aplikasi yang ketat
- Memantau log untuk aktivitas API yang tidak normal
- Membatasi akses jaringan dari layanan anonim yang sering digunakan penyerang
Beberapa institusi keuangan bahkan mulai menguji verifikasi penelepon secara langsung di aplikasi resmi, agar pengguna bisa memastikan apakah pihak yang menghubungi benar-benar perwakilan resmi perusahaan.
Pelajaran Penting
Insiden ini menegaskan bahwa SSO dan cloud storage menjadi target bernilai tinggi bagi penyerang, dan kesadaran terhadap rekayasa sosial sama pentingnya dengan patch keamanan teknis. Bagi pengguna layanan kencan online, meski kata sandi dan data finansial dinyatakan aman, tetap disarankan untuk:
- Mengaktifkan MFA
- Waspada terhadap email atau panggilan mencurigakan
- Tidak mudah percaya pada tautan login yang mengatasnamakan perusahaan