Match Group : fuite Hinge/OkCupid (ShinyHunters)
Le groupe ShinyHunters revendique le vol de plus de 10 millions d'enregistrements liés à Hinge, OkCupid et Match.com via un accès Okta/AppsFlyer. Match Group confirme un incident.
- Organisation
- Match Group (Hinge, OkCupid, Match.com, Meetic, Tinder)
- Secteur
- Réseaux sociaux / Tech
- Pays
- États-Unis (groupe), utilisateurs UE/France concernés
- Date des faits
- Janvier 2026 (revendication publiée le 28 janvier 2026)
- Ampleur
- Plus de 10 millions d'enregistrements revendiqués ; échantillons vérifiés évoquant environ 2 millions d'identifiants publicitaires (MAID) et environ 85 000 adresses e-mail
- Vecteur
- phishing (vishing) → compromission identifiants Okta SSO → accès plateforme analytique AppsFlyer (origine AppsFlyer contestée)
- Données exposées
- Données personnelles (PII), Identifiants publicitaires mobiles (MAID), Adresses e-mail, Adresses IP, Données de localisation, Données d'abonnement Hinge (identifiants de transaction, montants payés), E-mails internes d'employés, Documents internes / contrats
Le groupe cybercriminel ShinyHunters a revendiqué, le 28 janvier 2026, le vol de plus de 10 millions d’enregistrements liés aux applications de rencontre de Match Group, notamment Hinge, OkCupid et Match.com. Selon la presse spécialisée (The Register, BleepingComputer, Malwarebytes, UpGuard), les attaquants auraient obtenu un accès via une campagne d’hameçonnage vocal (vishing) ayant compromis des identifiants Okta SSO, ouvrant l’accès à la plateforme d’analyse marketing AppsFlyer. AppsFlyer conteste formellement être à l’origine de l’incident, et Match Group a démenti que des espaces Google Drive ou Dropbox aient été touchés.
Les données concernées, telles que décrites par les sources, incluraient des données personnelles (PII), des identifiants publicitaires mobiles (MAID), des adresses e-mail, des adresses IP, des données de localisation et des informations d’abonnement Hinge (identifiants de transaction, montants payés), ainsi que des documents et e-mails internes. Si ShinyHunters revendique plus de 10 millions d’enregistrements (environ 1,7 Go de fichiers), des analyses indépendantes évoquent des échantillons vérifiés de l’ordre de 2 millions d’identifiants publicitaires et d’environ 85 000 adresses e-mail. Match Group reconnaît un « incident de sécurité » affectant « une quantité limitée de données utilisateurs » et affirme qu’aucun identifiant de connexion, donnée financière ni communication privée n’a été consulté.
Aucune source consultée ne précise le nombre d’utilisateurs français ou européens concernés, et aucune notification d’autorité de protection des données (CNIL, ICO ou autre DPA) n’a été identifiée à ce stade. L’exposition d’utilisateurs européens reste néanmoins très probable : Match Group exploite Hinge, OkCupid, Match.com et Meetic dans toute l’Union européenne, France comprise, et les jeux de données décrits ne font l’objet d’aucune segmentation géographique dans les rapports publics.
En l’état, la fuite doit être considérée comme partiellement confirmée : l’existence d’un incident est reconnue par Match Group, mais l’ampleur réelle (le chiffre de 10 millions) demeure une allégation du groupe d’attaquants, et le vecteur exact fait l’objet de contestations. La prudence reste donc de mise sur le volume précis de personnes touchées et sur la nature complète des données réellement exfiltrées.
Sources
- ShinyHunters claims it stole 10M records from dating apps (The Register)
- Match Group breach exposes data from Hinge, Tinder, OkCupid, and Match (BleepingComputer)
- Match, Hinge, OkCupid, and Panera Bread breached by ransomware group (Malwarebytes)
- Match Group Suffers Alleged Breach According to Dark Web Reports (UpGuard)
- Tinder owner reports data breach (Computing.co.uk)