Die Videoplattform Vimeo hat bestätigt, dass persönliche Informationen von mehr als 119.000 Nutzern nach einem Cyberangriff in Verbindung mit der Erpressungsgruppe ShinyHunters offengelegt wurden.
Der Vorfall resultiert aus einer Sicherheitsverletzung mit Anodot, einem Drittanbieter-Analyseanbieter, der von Vimeo und mehreren anderen Unternehmen genutzt wird. Laut Vimeo erhielten Angreifer durch die kompromittierte Integration unbefugten Zugriff auf bestimmte Benutzer- und Kundendaten.
Der Datenpannen-Tracking-Dienst Have I Been Pwned bestätigte später, dass der offengelegte Datensatz etwa 119.200 einzigartige E-Mail-Adressen enthält, in einigen Fällen begleitet von Namen.
Vimeo erklärte, dass die kompromittierten Informationen hauptsächlich technische Daten, Videotitel, Metadaten und einige Kunden-E-Mail-Adressen enthielten. Das Unternehmen betonte, dass hochgeladene Videoinhalte, Benutzeranmeldedaten und Zahlungskarteninformationen während des Vorfalls nicht abgerufen wurden.
Der Angriff wurde mit der Cyberkriminalitätsgruppe ShinyHunters in Verbindung gebracht, die Vimeo öffentlich auf ihrem Erpressungsportal gelistet und damit drohte, gestohlene Dateien zu leaken, sofern keine Lösegeldforderung erfüllt wird. Die Gruppe behauptete, über den Anodot-Kompromiss auf Daten aus Vimeos Snowflake- und BigQuery-Umgebungen zugegriffen zu haben.
Sicherheitsforscher sagen, dass der Vorfall einen breiteren Trend widerspiegelt, bei dem Angreifer Drittanbieter-Integrationen und Cloud-Analyseplattformen ins Visier nehmen, um nachgelagerten Zugang zu Kundenumgebungen zu erhalten. In diesem Fall erlaubten kompromittierte Authentifizierungstoken, die mit Anodot verknüpft sind, Berichten zufolge unbefugten Zugriff, ohne direkt die eigene Infrastruktur von Vimeo zu verletzen.
Nach der Entdeckung entzog Vimeo alle Anodot-Zugangsdaten, entfernte die Analyse-Integration aus seinen Systemen und beauftragte externe Cybersicherheitsexperten zur Untersuchung des Sicherheitsvorfalls. Das Unternehmen informierte außerdem die Strafverfolgungsbehörden.
Das Unternehmen erklärte, dass der Angriff die Dienste oder den Betrieb der Plattform nicht gestört habe. Dennoch könnten offengelegte E-Mail-Adressen und Metadaten weiterhin Risiken für Phishing und Social Engineering für betroffene Nutzer darstellen, insbesondere da Cyberkriminelle Gruppen geleakte Datensätze zunehmend als Waffe in Folgekampagnen einsetzen.
Der Datenverstoß fügt Vimeo zu einer wachsenden Liste von Organisationen hinzu, die 2026 von Angriffen im Zusammenhang mit den Aktivitäten von Anodot und ShinyHunters betroffen sind. Ermittler glauben, dass die Kampagne mehrere Unternehmen durch vernetzte Cloud-Dienste und Analyseintegrationen beeinflusst hat.