La piattaforma video Vimeo ha confermato che informazioni personali appartenenti a oltre 119.000 utenti sono state esposte a seguito di un attacco informatico collegato al gruppo di estorsione ShinyHunters.
L’incidente deriva da una violazione che coinvolge Anodot, un fornitore di analisi terza utilizzato da Vimeo e da molte altre aziende. Secondo Vimeo, gli attaccanti hanno ottenuto accesso non autorizzato a determinati dati di utenti e clienti attraverso l’integrazione compromessa.
Il servizio di tracciamento delle violazioni dati Have I Been Pwned ha poi confermato che il dataset esposto contiene circa 119.200 indirizzi email unici, in alcuni casi accompagnati da nomi.
Vimeo ha dichiarato che le informazioni compromesse includevano principalmente dati tecnici, titoli video, metadati e alcuni indirizzi email di clienti. L’azienda ha sottolineato che durante l’incidente non sono stati accessibili i contenuti video caricati, le credenziali di accesso degli utenti e le informazioni sulle carte di pagamento.
L’attacco è stato collegato al gruppo di criminalità informatica ShinyHunters, che ha inserito pubblicamente Vimeo nel suo portale di estorsione e ha minacciato di far trapelare file rubati a meno che non fosse stata soddisfatta una richiesta di riscatto. Il gruppo ha affermato di aver accedito ai dati degli ambienti Snowflake e BigQuery di Vimeo tramite la compromessa di Anodot.
I ricercatori di sicurezza affermano che l’incidente riflette una tendenza più ampia degli attaccanti a prendere di mira integrazioni di terze parti e piattaforme di analisi cloud per ottenere accesso a valle agli ambienti dei clienti. In questo caso, token di autenticazione compromessi, collegati ad Anodot, avrebbero consentito l’accesso non autorizzato senza violare direttamente l’infrastruttura di Vimeo.
Dopo la scoperta, Vimeo ha revocato tutte le credenziali Anodot, rimosso l’integrazione con l’analisi dai suoi sistemi e coinvolto esperti esterni di cybersecurity per indagare sulla violazione. L’azienda ha inoltre informato le autorità di polizia.
L’azienda ha dichiarato che l’attacco non ha interrotto i servizi o le operazioni della piattaforma. Tuttavia, indirizzi email e metadati esposti potrebbero comunque creare rischi di phishing e ingegneria sociale per gli utenti coinvolti, soprattutto mentre i gruppi di criminali informatici utilizzano sempre più spesso i dataset trapelati nelle campagne di follow-up.
La violazione aggiunge Vimeo a una lista crescente di organizzazioni colpite da attacchi collegati alle attività di Anodot e ShinyHunters nel 2026. Gli investigatori ritengono che la campagna abbia colpito più aziende attraverso servizi cloud interconnessi e integrazioni con l’analisi.