A plataforma de vídeo Vimeo confirmou que informações pessoais pertencentes a mais de 119.000 usuários foram expostas após um ataque cibernético ligado ao grupo de extorsão ShinyHunters.
O incidente decorre de uma violação envolvendo a Anodot, um provedor terceirizado de análises utilizado pela Vimeo e várias outras empresas. Segundo o Vimeo, atacantes obtiveram acesso não autorizado a certos dados de usuários e clientes por meio da integração comprometida.
O serviço de rastreamento de vazamentos de dados Have I Been Pwned confirmou posteriormente que o conjunto de dados exposto contém aproximadamente 119.200 endereços de e-mail únicos, em alguns casos acompanhados de nomes.
O Vimeo afirmou que as informações comprometidas incluíam principalmente dados técnicos, títulos de vídeos, metadados e alguns endereços de e-mail de clientes. A empresa enfatizou que o conteúdo de vídeo enviado, credenciais de login de usuário e informações de cartão de pagamento não foram acessados durante o incidente.
O ataque foi ligado ao grupo de crimes cibernéticos ShinyHunters, que listou publicamente o Vimeo em seu portal de extorsão e ameaçou vazar arquivos roubados a menos que uma exigência de resgate fosse atendida. O grupo afirmou ter acessado dados dos ambientes Snowflake e BigQuery do Vimeo por meio do compromisso Anodot.
Pesquisadores de segurança afirmam que o incidente reflete uma tendência mais ampla de atacantes a mirarem integrações de terceiros e plataformas de análise em nuvem para obter acesso posterior aos ambientes dos clientes. Neste caso, tokens de autenticação comprometidos vinculados à Anodot supostamente permitiram acesso não autorizado sem invadir diretamente a própria infraestrutura do Vimeo.
Após a descoberta, o Vimeo revogou todas as credenciais da Anodot, removeu a integração de análises de seus sistemas e contratou especialistas externos em cibersegurança para investigar a violação. A empresa também notificou as autoridades policiais.
A empresa afirmou que o ataque não interrompeu os serviços nem as operações da plataforma. No entanto, endereços de e-mail e metadados expostos ainda podem criar riscos de phishing e engenharia social para os usuários afetados, especialmente à medida que grupos cibercriminosos estão cada vez mais transformando conjuntos de dados vazados como armas em campanhas subsequentes.
A violação adiciona o Vimeo a uma lista crescente de organizações afetadas por ataques relacionados às atividades da Anodot e ShinyHunters em 2026. Investigadores acreditam que a campanha impactou várias empresas por meio de serviços em nuvem interconectados e integrações de análises.