La plateforme vidéo Vimeo a confirmé que des informations personnelles appartenant à plus de 119 000 utilisateurs ont été exposées à la suite d’une cyberattaque liée au groupe d’extorsion ShinyHunters.
L’incident découle d’une violation impliquant Anodot, un fournisseur d’analyses tiers utilisé par Vimeo et plusieurs autres entreprises. Selon Vimeo, les attaquants ont obtenu un accès non autorisé à certaines données d’utilisateurs et de clients grâce à cette intégration compromise.
Le service de suivi des violations de données Have I Been Pwned a ensuite confirmé que le jeu de données exposé contient environ 119 200 adresses e-mail uniques, parfois accompagnées de noms.
Vimeo a indiqué que les informations compromises comprenaient principalement des données techniques, des titres vidéos, des métadonnées et certaines adresses e-mail de clients. L’entreprise a souligné que le contenu vidéo téléchargé, les identifiants de connexion utilisateur et les informations sur les cartes de paiement n’ont pas été consultés pendant l’incident.
L’attaque a été liée au groupe de cybercriminalité ShinyHunters, qui a publiquement inscrit Vimeo sur son portail d’extorsion et menacé de divulguer des fichiers volés à moins qu’une demande de rançon ne soit satisfaite. Le groupe a affirmé avoir accédé aux données des environnements Snowflake et BigQuery de Vimeo via la compromission Anodot.
Les chercheurs en sécurité affirment que cet incident reflète une tendance plus large des attaquants visant les intégrations tierces et les plateformes d’analyse cloud afin d’accéder en aval aux environnements clients. Dans ce cas, des jetons d’authentification compromis liés à Anodot auraient permis un accès non autorisé sans violer directement l’infrastructure de Vimeo.
Suite à cette découverte, Vimeo a révoqué toutes les identifiantes Anodot, supprimé l’intégration analytique de ses systèmes et fait appel à des experts externes en cybersécurité pour enquêter sur la faille. L’entreprise a également informé les autorités chargées de faire respecter la loi.
L’entreprise a déclaré que l’attaque n’avait pas perturbé les services ni les opérations de la plateforme. Cependant, des adresses e-mail et des métadonnées exposées pourraient encore créer des risques de phishing et d’ingénierie sociale pour les utilisateurs concernés, surtout à mesure que les groupes de cybercriminalité utilisent de plus en plus des jeux de données fuités dans des campagnes de suivi.
Cette violation ajoute Vimeo à une liste croissante d’organisations touchées par des attaques liées aux activités d’Anodot et ShinyHunters en 2026. Les enquêteurs estiment que la campagne a impacté plusieurs entreprises grâce à des services cloud interconnectés et des intégrations analytiques.