La plataforma de vídeo Vimeo ha confirmado que información personal perteneciente a más de 119.000 usuarios fue expuesta tras un ciberataque vinculado al grupo de extorsión ShinyHunters.
El incidente surge de una brecha que involucra a Anodot, un proveedor externo de análisis utilizado por Vimeo y varias otras empresas. Según Vimeo, los atacantes obtuvieron acceso no autorizado a ciertos datos de usuarios y clientes mediante la integración comprometida.
El servicio de seguimiento de filtraciones de datos Have I Been Pwned confirmó posteriormente que el conjunto de datos expuesto contiene aproximadamente 119.200 direcciones de correo electrónico únicas, en algunos casos acompañadas de nombres.
Vimeo señaló que la información comprometida incluía principalmente datos técnicos, títulos de vídeos, metadatos y algunas direcciones de correo electrónico de clientes. La empresa recalcó que el contenido de vídeo subido, las credenciales de acceso de usuario ni la información de tarjetas de pago no fueron accedidos durante el incidente.
El ataque ha sido vinculado al grupo de cibercrimen ShinyHunters, que listó públicamente a Vimeo en su portal de extorsión y amenazó con filtrar archivos robados a menos que se cumpliera una demanda de rescate. El grupo afirmó haber accedido a datos de los entornos Snowflake y BigQuery de Vimeo a través del compromiso de Anodot.
Investigadores de seguridad afirman que el incidente refleja una tendencia más amplia de atacantes que apuntan a integraciones de terceros y plataformas de análisis en la nube para obtener acceso posterior a los entornos de los clientes. En este caso, tokens de autenticación comprometidos vinculados a Anodot permitieron el acceso no autorizado sin vulnerar directamente la propia infraestructura de Vimeo.
Tras el descubrimiento, Vimeo revocó todas las credenciales de Anodot, eliminó la integración de analítica de sus sistemas y contrató expertos externos en ciberseguridad para investigar la brecha. La empresa también notificó a las autoridades policiales.
La empresa declaró que el ataque no interrumpió los servicios ni las operaciones de la plataforma. Sin embargo, las direcciones de correo electrónico expuestas y los metadatos podrían seguir generando riesgos de phishing e ingeniería social para los usuarios afectados, especialmente a medida que los grupos cibercriminales utilizan cada vez más los conjuntos de datos filtrados como arma en campañas de seguimiento.
La brecha suma a Vimeo a una lista creciente de organizaciones afectadas por ataques relacionados con la actividad de Anodot y ShinyHunters en 2026. Los investigadores creen que la campaña ha afectado a varias empresas a través de servicios en la nube interconectados e integraciones de análisis.