Jak hackeři ukradli 10 milionů profilů z Tinderu
Volající se představí jako kolega z IT security oddělení a říká, že potřebuje ověřit váš přístup kvůli „bezpečnostnímu incidentu“. Zní to naléhavě. Zní to důvěryhodně. Zní to... jako phishing.
Za pět minut má útočník přístup k datům 10 milionů lidí. Gratulujeme, právě jste se stali součástí největšího dating app hacku začátku roku 2026.
Tohle není science fiction. To se přesně stalo koncem ledna 2026, když si hackerský gang ShinyHunters (ti samí, co hackli Nike, Crunchbase a desítky dalších firem) posvítil na Match Group a Bumble pomocí takzvaného „vishingu“ – voice phishingu. Tedy klasického phishingu, ale místo emailu přes telefonát.
Co všechno zmizelo do temnoty darknetu?
Match Group (majitel Tinderu, Hinge, OkCupidu a Match.com) nakonec přiznal, že „bylo zasaženo omezené množství uživatelských dat“. Když technologická firma řekne „omezené množství“, můžete si být jisti, že jde o miliony záznamů.
Co konkrétně hackeři ukradli:
- User ID a transakční údaje z Hinge (včetně částek zaplacených za premium předplatné – ano, teď všichni víme, kdo platí za zlaté srdíčka)
- IP adresy a lokační data
- Interní firemní dokumenty
- Obsah Google Drive a Slack konverzací zaměstnanců (u Bumble šlo o 30 GB dat)
- Tisíce interních dokumentů označených jako „restricted“ nebo „confidential“
„Necítíme se být ohroženi, citlivá data jako hesla a platební údaje nebyla kompromitována,“ prohlásil Match Group v oficiálním vyjádření. To je trochu jako říct „dům nám sice vyhořel, ale aspoň ta garáž zůstala“. Když hackeři mají vaše User ID, transakce a lokaci, citlivá data vlastně mají.
Češi: mistři světa v... zranitelnosti
A teď ta nepříjemná pravda: Česká republika je podle studie bezpečnostní firmy Gen šestou nejvíce zranitelnou zemí na světě pro podvody na seznamovacích aplikacích. To není nejhorší výsledek, ale rozhodně to není medaile, kterou bychom chtěli vystavovat ve vitríně.
Společnost nám v této nejisté pozici dělá Dánsko, Belgie, Lucembursko, Rakousko a Slovinsko. Co máme společného? Relativně vysokou důvěru v technologie a současně často nedostatečnou kybernetickou ostražitost. Jinými slovy: věříme tomu, co vidíme na obrazovce, a nečekáme, že by nás v aplikaci na randění mohl někdo podvést.
Podle dat z ledna 2026 je Tinder stále nejpoužívanější seznamovací aplikací v České republice. Kolik přesně Čechů má profil na Tinderu, firmy nesdělují, ale odhaduje se, že aktivních uživatelů je v řádu statisíců. A všichni byli potenciálně zasaženi tímto únikem.
Jak je možné, že i tech firmy padají na phishing?
Tady přichází ta nejironičtější část celé story: Match Group každoročně generuje 3,5 miliardy dolarů tržeb. To je 3 500 000 000 dolarů. Firma má odhadovanou základnu přes 80 milionů aktivních uživatelů. Přesto jeden telefonát hackerovi stačil, aby se dostal dovnitř.
Útok ShinyHunters nebyl nijak zvlášť technicky sofistikovaný. Nepoužili žádný zero-day exploit, neprolomili šifrování, nepřekonali firewall. Prostě zavolali zaměstnanci a vydávali se za IT oddělení. Klasický sociální inženýrství.
Jak to fungovalo:
Přesný průběh útoku není veřejně znám, ale na základě dostupných informací útok probíhal přibližně následovně:
- Hackeři získali informace o zaměstnancích Match Group (LinkedIn, veřejné profily)
- Zavolali vybraným zaměstnancům a představili se jako IT security
- Pod záminkou „bezpečnostního incidentu“ požádali o přihlášení do Okta SSO (systém jednotného přihlášení)
- Získali přístup k AppsFlyer (marketingová analytika), Google Drive a Dropbox
- Stáhli miliony záznamů a interních dokumentů
To je ten moment, kdy si uvědomíte pravdu: Nejlepší firewall na světě vám nepomůže, když zaměstnanec dobrovolně předá hackerovi přihlašovací údaje.
„Já bych nikdy nenaletěl!“ – Vážně?
Tohle už je potřetí za poslední měsíce, co píšu článek o tom, jak někdo „naletěl“ na phishing. A pokaždé najdu v komentářích desítky lidí, kteří prohlašují: „Já bych nikdy nenaletěl na něco takového!“
Fakt? Zaměstnanci Match Group pravděpodobně taky mysleli, že nikdy nenaletí. Pracují přeci pro tech firmu! Rozumí digitální bezpečnosti!
Jenže vishing (voice phishing) je mnohem zákeřnější než klasický email. Máte v telefonu člověka, který:
- Zná vaše jméno a pozici
- Mluví profesionálně a sebejistě
- Používá interní terminologii
- Vytváří pocit naléhavosti (“máme bezpečnostní incident“)
- Apeluje na vaši zodpovědnost (“potřebujeme to vyřešit HNED“)
Když vám někdo volá a říká „máme bezpečnostní incident, potřebuju ověřit tvůj přístup“, vaše první myšlenka obvykle není „to je phishing“. Vaše první myšlenka je „sakra, co se stalo, musím pomoct“.
Co s tím dělat?
Pokud máte profil na Tinderu, Bumble, Hinge nebo OkCupid:
- Změňte heslo – i když firmy tvrdí, že hesla nebyla kompromitována, lepší být opatrný
- Zapněte dvoufaktorové ověření (2FA) – pokud ho aplikace nabízí (což by měla)
- Zkontrolujte, kde jste použili stejné heslo – pokud máte heslo „TinderLaska123“ i na emailu, změňte ho
- Sledujte své bankovní účty – pokud jste měli premium předplatné, útočníci mají vaše transakce
- Buďte ostražití vůči phishingovým pokusům – hackeři teď mají vaše data a můžou se vám ozvat
Pokud jste zaměstnanec tech firmy (nebo jakékoliv firmy):
- „Callback rule“ – pokud vám někdo volá z IT a žádá citlivé údaje, zavěste a zavolejte zpět na ověřené firemní číslo
- Nikdy nesdílejte přihlašovací údaje po telefonu – žádné seriózní IT oddělení vás nikdy nepožádá o vaše heslo
- Ověřte identitu – zeptejte se na něco, co by měl vědět jen váš kolega (aktuální projekt, jméno šéfa, atd.)
- Reportujte podezřelé hovory – i když si nejste jisti, radši to nahlaste bezpečnostnímu týmu
Miliardy na zisky, haléře na bezpečnost?
Pokud vám připadá absurdní, že firma s 3,5 miliardovým ročním obratem padne na telefonát od hackera, nejste sami. To je přesně ten systémový problém, o kterém se mluví už roky.
Tech firmy investují miliardy do vývoje nových funkcí – AI matchmaking, video profily, gamifikace swipování. Ale když přijde na základní kybernetickou bezpečnost? „To zvládneme interně.“ Až do doby, než přijde ShinyHunters a ukáže, že ne, nezvládneme.
Match Group po útoku prohlásil: „Bereme bezpečnost našich uživatelů velmi vážně a rychle jsme ukončili neoprávněný přístup.“ To je hezké, ale pravda je, že kdyby bezpečnost brali opravdu vážně, k útoku by nikdy nedošlo.
A teď si položte otázku: Pokud firma, která spravuje intimní data 80 milionů lidí, může padnout na jeden telefonát, jak bezpečné jsou vaše data jinde?
Závěr: Swipe left na falešný pocit bezpečnosti
Tento útok není příběh o tom, jak jsou hackeři neuvěřitelně inteligentní. Je to příběh o tom, že i ty největší tech firmy mají stejné slabé místo jako všichni ostatní: lidi.
ShinyHunters nepoužili žádnou pokročilou technologii. Prostě zavolali, představili se jako někdo jiný, a využili toho, že lidé mají tendenci věřit autoritě a pomáhat v krizi.
A to je ta nejděsivější část celé story. Protože proti tomu neexistuje antivirový program. Proti tomu neexistuje firewall. Jediná obrana je být neustále ostražitý – což je ve světě, kde dostáváme stovky zpráv denně, skoro nemožné.
Takže příště, až budete swipovat na Tinderu, pamatujte: Nejde jen o to, jestli vám ten profil sedí. Jde taky o to, jestli aplikace, kterou používáte, dokáže ochránit vaše data před tím, aby se k nim nedostali lidé, kterým opravdu nepatří.
A pokud vám někdo z „IT oddělení“ zavolá s tím, že potřebuje ověřit váš přístup? Zavěste. A zavolejte zpět na číslo, které najdete v interním adresáři. Ne na číslo, ze kterého vám volali.
Protože jak ukazuje příběh Match Group: I ta největší tech firma může mít problém rozlišit mezi zaměstnancem a hackerem, když ten hacker umí dobře telefonovat.
