De cybercriminele groep ShinyHunters heeft de verantwoordelijkheid opgeëist voor een datalek met videoplatform Vimeo, en heeft een “pay or leak”-ultimatum gesteld nadat het beweerde toegang te hebben gekregen tot bedrijfsgegevens via een thirdparty compromise.
Volgens het bericht van de groep op hun leksite zeiden aanvallers dat ze toegang hadden gehad tot Vimeo’s Snowflake- en Google BigQuery-omgevingen, naar verluidt gebruikmakend van een eerdere inbreuk op de Israëlische analyseprovider Anodot. Het bericht bevatte een directe waarschuwing aan het bedrijf, waarin werd aangegeven dat gestolen gegevens openbaar kunnen worden gemaakt als losgeldeisen niet worden nagekomen.
De bewering maakt deel uit van een breder patroon van aanvallen die verband houden met ShinyHunters, dat zich steeds meer richt op het misbruiken van cloudgebaseerde systemen en integraties van derden om toegang te krijgen tot grote datasets. De groep staat bekend om het gebruik van data-exfiltratie als primaire tactiek, waarbij ze vertrouwt op afpersing in plaats van systeemverstoring.
Vimeo heeft een beveiligingsincident erkend dat gekoppeld is aan een externe aanbieder en bevestigd dat ongeautoriseerde toegang tot bepaalde gebruikers- en klantgegevens heeft plaatsgevonden. Het bedrijf verklaarde dat het stappen heeft ondernomen om zijn systemen te beveiligen, waaronder het uitschakelen van getroffen integraties en het inschakelen van externe cybersecurity-experts ter ondersteuning van het onderzoek.
De eerste bevindingen geven aan dat de gecompromitteerde gegevens voornamelijk technische informatie omvatten zoals videometadata en titels, samen met enkele e-mailadressen van gebruikers. Vimeo benadrukte dat er geen videocontent, inloggegevens of betaalkaartgegevens zijn blootgelegd bij het incident. Het bedrijf meldde ook geen onderbrekingen van zijn diensten.
De aanval lijkt verband te houden met een bredere campagne gericht op organisaties die afhankelijk zijn van clouddataplatforms. Beveiligingsonderzoekers hebben eerder opgemerkt dat datalekken met SaaS-integraties cascaderende risico’s kunnen veroorzaken, waarbij aanvallers gestolen authenticatietokens of inloggegevens hergebruiken om toegang te krijgen tot meerdere downstreamsystemen.
ShinyHunters is de afgelopen maanden betrokken geweest bij een reeks spraakmakende incidenten, waarbij organisaties worden gericht in sectoren zoals onderwijs, financiën en technologie. De activiteiten van de groep bestaan vaak uit het stellen van korte deadlines om slachtoffers onder druk te zetten tot onderhandelingen, gevolgd door publieke lekken als aan de eisen niet wordt voldaan.
Op het moment van de berichtgeving wordt de volledige omvang van het Vimeo-incident nog onderzocht. Het is onduidelijk of de onderhandelingen lopen of dat er gegevens zijn vrijgegeven. De zaak benadrukt de voortdurende risico’s die samenhangen met afhankelijkheden van derden, met name in omgevingen waar clouddiensten en externe integraties diep verankerd zijn in kernactiviteiten.