ShinyHunters adlı bir suç hackleme grubu, ABD merkezli Inc.’den yaklaşık 30GB dahili veri Bumble çaldığını iddia etti; Inc., bu şirket flört platformunu Bumble ve Badoo ile BFF gibi ilgili hizmetleri işletiyor. Grup, iddiayı 29 Ocak’ta karanlık web sızıntı sitesinde yayınladı ve şirketin kullandığı bulut depolama hizmetlerinden binlerce iç belge elde ettiğini söyledi. ShinyHunters, verilerin çoğunun şirketin iç iş birliği ve dosya depolama için kullandığı Google Drive ve Slack depolarından geldiğini belirtti.
Bumble Inc., yüklenici hesaplarından birinin bir oltalama saldırısında ele geçirildiğini doğruladı ancak saldırganların üye veritabanına, kullanıcı profillerine veya mesajlaşma sistemlerine erişmediğini reddetti. Şirket, ihlalın, hesabın kilitlenmeden önce ağının küçük bir kısmına yetkisiz erişimi içerdiğini ve sorunun soruşturma için kolluk kuvvetlerine bildirildiğini belirtti. Bumble Ayrıca, müşteri hesap bilgilerine veya doğrudan mesajlara erişildiğine dair hiçbir kanıt olmadığını belirtti.
İddia edilen olay, son günlerde birden fazla şirketin bildirdiği daha geniş bir siber güvenlik olayları dizisinin parçası. Etkilendiği diğer kuruluşlar arasında Panera Bread Co., Match Group Inc. ve CrunchBase Inc. yer alıyor; hepsi siber güvenlik olaylarını bildirmiş ve soruşturma için yetkililere başvurmuştur. Tinder ve OkCupid gibi flört hizmetlerinin arkasındaki ABD merkezli teknoloji şirketi Match Group, kendi ihlali sınırlı miktarda kullanıcı verisine dahil olduğunu, ancak giriş bilgilerine, finansal bilgilere ve özel iletişimlere erişilmediğini belirtti. Panera Bread, şirketin kullandığı bir uygulamada saklanan iletişim bilgileriyle ilgili bir güvenlik ihlali doğruladı ve özel bir şirket istihbarat platformu olan CrunchBase, bazı kurumsal ağ belgelerinin etkilendiğini bildirdi.
ShinyHunters, son yıllarda büyük şirketlere yönelik birçok veri ihlalinden sorumlu olan yaygın bir suç hacker grubudur. Grup, iddia edilen çalınmış verileri karanlık web forumlarında veya sızdırma sitelerinde sıkça paylaşıyor ve tarihsel olarak ihlal ettiğini iddia ettiği kuruluşlardan fidye ödemeleri talep etmiştir. Bağımsız analistler, bu tür grupların iddialarının her zaman doğrulanmadığını ve saldırganların karanlık web sitelerindeki açıklamalarının iddia edilen hırsızlıkların kapsamını abartabileceğini belirtiyor.
Birkaç siber güvenlik uzmanı, son raporlarında ShinyHunter’lara atfedilen yöntemlerin, hedef kuruluşlardaki çalışanlardan veya yüklenicilerden erişim kimliği almak için oltalama ve sesli oltalama gibi sosyal mühendislik tekniklerini içerdiğini söyledi. Bu teknikler, son aylarda grubun bildirdiği diğer ihlaller ve veri hırsızlıklarıyla da ilişkilendirildi.