Videoplatform Vimeo heeft bevestigd dat persoonlijke informatie van meer dan 119.000 gebruikers is blootgelegd na een cyberaanval die gelinkt is aan de afpersingsgroep ShinyHunters.
Het incident is het gevolg van een datalek waarbij Anodot betrokken is, een externe analyseprovider die wordt gebruikt door Vimeo en meerdere andere bedrijven. Volgens Vimeo kregen aanvallers ongeautoriseerde toegang tot bepaalde gebruikers- en klantgegevens via de gecompromitteerde integratie.
De datalek-trackingdienst Have I Been Pwned bevestigde later dat de blootgestelde dataset ongeveer 119.200 unieke e-mailadressen bevat, in sommige gevallen vergezeld van namen.
Vimeo zei dat de gecompromitteerde informatie voornamelijk technische gegevens, videotitels, metadata en enkele klantadressen omvatte. Het bedrijf benadrukte dat geüploade videocontent, gebruikersinloggegevens en betaalkaartinformatie tijdens het incident niet werden beraadpleegd.
De aanval is in verband gebracht met de cybercrimegroep ShinyHunters, die Vimeo publiekelijk op haar afpersingsportaal heeft gezet en dreigde gestolen bestanden te lekken tenzij aan een losgeldeis werd voldaan. De groep beweerde gegevens te hebben verkregen uit Vimeo’s Snowflake- en BigQuery-omgevingen via het Anodot-compromis.
Beveiligingsonderzoekers zeggen dat het incident een bredere trend weerspiegelt waarbij aanvallers zich richten op integraties van derden en cloudanalyseplatforms om downstream toegang te krijgen tot klantomgevingen. In dit geval zouden gecompromitteerde authenticatietokens die aan Anodot gekoppeld zijn ongeautoriseerde toegang mogelijk hebben gemaakt zonder direct de eigen infrastructuur van Vimeo te breken.
Na de ontdekking trok Vimeo alle Anodot-inloggegevens in, verwijderde de analyse-integratie uit zijn systemen en schakelde externe cybersecurity-experts in om het lek te onderzoeken. Het bedrijf heeft ook de politie op de hoogte gebracht.
Het bedrijf verklaarde dat de aanval de diensten of platformoperaties niet verstoorde. Toch kunnen blootgestelde e-mailadressen en metadata nog steeds phishing- en social engineering-risico’s opleveren voor getroffen gebruikers, vooral nu cybercriminele groepen gelekte datasets steeds vaker inzetten als wapens in vervolgcampagnes.
De inbraak voegt Vimeo toe aan een groeiende lijst van organisaties die in 2026 getroffen zijn door aanvallen in verband met de activiteiten van Anodot en ShinyHunters. Onderzoekers denken dat de campagne meerdere bedrijven heeft beïnvloed via onderling verbonden clouddiensten en analyse-integraties.