ShinyHunters 駭擊 Match Group：第三方平台資料洩漏風險分析

近期網路資安威脅情勢再度升溫，知名交友軟體集團 Match Group（旗下擁有 Tinder、Hinge 及 OkCupid 等平台）證實正在調查一起資安事件。這起事件由惡意組織「Scattered LAPSUS$ Hunters」發起，該組織聲稱已竊取 Match Group 內部大量資料。根據初步調查與媒體披露，外洩內容包含用戶的唯一廣告 ID、企業收據及部分內部文件 (Mashable)。

這起事件並非單一孤立案件，而是近期針對大型企業第三方服務供應鏈攻擊鏈的一環。駭客組織 ShinyHunters 及其聯盟成員，近期頻繁利用 OAuth 權杖（Tokens）與第三方雲端服務（如 Salesforce, Workday, Gainsight）的整合漏洞，展開大規模的資料竊取與勒索活動。本文將深入分析 Match Group 事件背後的技術脈絡與企業防禦弱點。

攻擊鏈分析：從第三方整合到內部滲透

Match Group 的受駭模式與近期多起針對雲端 CRM 與 HR 平台的攻擊高度相似。根據資安研究顯示，ShinyHunters 及其合作夥伴（如 Scattered Spider）不再僅僅依賴傳統的系統漏洞攻堅，而是將重心轉移至「憑證與權杖劫持」。

• OAuth 權杖劫持： 駭客透過先前從其他平台（如 Salesloft Drift）竊取的 OAuth 權杖，繞過多因素驗證（MFA），直接存取企業在第三方平台上的資料庫 (iThome)。
• 社交工程與語音釣魚： ShinyHunters 擅長透過語音釣魚（Vishing）獲取員工的存取權限，進而滲透雲端環境。Workday 的資料外洩事件便被指出與此類手法有關 (科技新報)。
• 橫向移動與資料外流： 一旦取得第三方服務的存取權，駭客便能下載大量商業聯繫資訊、廣告數據或客戶互動報告（CER），例如 Red Hat 遭竊的 GitLab 儲存庫資料即包含大量客戶互動細節 (iThome)。

Match Group 事件的技術影響

在 Match Group 的案例中，雖然官方強調目前無證據顯示用戶的登入憑證、財務資訊或私人通訊內容遭到存取，但外洩的「廣告 ID」與「內部文件」仍具備高度的威脅價值。對於資安工程師而言，廣告 ID (Advertising IDs) 的洩漏意味著攻擊者可以對特定用戶進行精準的「去匿名化」追蹤，甚至結合其他外洩資料庫進行更複雜的社交工程攻擊。

此外，Match Group 迅速終止了未經授權的存取，並與外部資安專家合作調查。這種應變模式反映了現代企業在面對「敲詐即服務」（Extortion-as-a-Service, EaaS）時的標準流程——即優先切斷連線，而非單純修補軟體漏洞，因為攻擊往往源於合法的存取途徑遭到濫用。

第三方供應鏈風險：Salesforce 與 Gainsight 的警訊

Match Group 事件的背景中，不能忽視 Salesforce 與 Gainsight 整合系統所引發的連鎖反應。近期有超過 760 家公司、逾 15 億筆 Salesforce 紀錄疑似因 OAuth 權杖遭竊而面臨風險 (iThome)。駭客利用第三方應用程式與核心 CRM 平台之間的「信任關係」，在不觸發傳統入侵偵測系統的情況下，搬移大量敏感資料。

Salesforce 已採取撤銷所有與異常活動相關的 Gainsight 存取權杖等強硬措施，並提醒用戶注意不正常的使用者代理字串（User Agent String）紀錄。這顯示出，企業 IT 架構在追求「自動化整合」的同時，也擴大了受攻擊面。

給 IT 主管與資安工程師的防禦建議

針對 ShinyHunters 這種以「身分識別」與「第三方整合」為核心的攻擊手法，企業應從以下幾個層面強化防護：

1. 權杖生命週期管理與權限最小化

應定期審查所有與 SaaS 平台（如 Salesforce, Workday）連接的 OAuth 權杖。對於長期未使用的整合應用程式，應強制撤銷存取權。同時，應確保第三方服務僅具備執行其功能所需的最小權限，避免單一權杖外洩導致全庫資料外流。

2. 強化異常行為偵測（UEBA）

監控日誌中不尋常的存取行為，例如：

• 來自 VPN 或 Proxy 伺服器的異常 IP 登入 (iThome)。
• 非典型的 API 呼叫頻率與資料下載量。
• 使用者代理字串（User Agent）與員工平日作業習慣不符。

3. 社交工程防禦訓練

由於 ShinyHunters 經常利用語音釣魚與社交工程手法，企業應對 IT 維運人員與客服專員進行針對性培訓，強調即使是來自「內部」或「合作夥伴」的權限請求，也必須經過嚴格的二次驗證。

4. 零信任架構（Zero Trust）的落實

不再信任「已登入」的連線。對於敏感資料的存取，應實施連續性的身分驗證，並對所有進出第三方平台的流量進行深度的封包與行為分析。

結論

Match Group 與 Workday 等事件再次敲響了供應鏈安全的警鐘。當企業將營運重心移往雲端，資安的邊界已不再是防火牆，而是「身分識別」。ShinyHunters 透過專業的分工與勒索模式，將企業的第三方整合點轉化為入侵的跳板。IT 團隊必須重新評估與外部服務的信任鏈結，確保在便利與安全之間取得平衡。

MITRE ATT&CK 對應

• T1078 – Valid Accounts（利用遭竊的合法帳號/權杖進行存取）
• T1566 – Phishing（透過語音或電子郵件進行社交工程）
• T1550.001 – Use Alternate Authentication Material: Application Access Token（利用 OAuth 權杖繞過驗證）
• T1020 – Automated Exfiltration（自動化大量竊取資料庫紀錄）
• T1650 – Cloud Administration Command（濫用雲端管理介面進行資料操作）

參考資料與原文來源

• 🔗 原文來源: Match Group responding to alleged hack of user data
• 🔗 原文來源: ShinyHunters 再出手？Workday 資料外洩牽扯出國際大案
• 🔗 原文來源: Red Hat資料外洩事故出現新進展，駭客聯手ShinyHunters對其勒索
• 🔗 原文來源: Salesforce與Gainsight遭到非法存取，疑似勒索軟體
• 🔗 原文來源: ShinyHunters聲稱駭入擁有多個時尚品牌的公司

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。