Siber suç grubu ShinyHunters, video platformu Vimeo’yu içeren bir veri ihlalinden sorumluluğu üstlenerek, şirket verilerine üçüncü taraf bir tehlikat yoluyla erişim sağladığını iddia ettikten sonra “öde ya sızdır” ültimatomu verdi.
Grubun sızdırma sitesindeki paylaşımına göre, saldırganlar Vimeo’nun Snowflake ve Google BigQuery ortamlarına eriştiklerini ve İsrailli analitik sağlayıcısı Anodot’un önceki bir ihlali kullanıldığını söylediler. Mesajda şirkete doğrudan bir uyarı yer alıyor ve fidye talepleri karşılanmazsa çalınan verilerin kamuya açıklanabileceği belirtilmişti.
Bu iddia, bulut tabanlı sistemler ve üçüncü taraf entegrasyonlarını kullanarak büyük veri setlerine erişmek için giderek daha fazla odaklanan ShinyHunters ile bağlantılı daha geniş bir saldırı deseninin parçasıdır. Grup, veri sızdırmasını birincil taktiği olarak kullanmasıyla bilinir; sistem bozgunluğu yerine şantajın üzerine dayanır.
Vimeo, üçüncü taraf bir sağlayıcıya bağlı bir güvenlik olayı olduğunu kabul etti ve belirli kullanıcı ve müşteri verilerine yetkisiz erişimin gerçekleştiğini doğruladı. Şirket, etkilenen entegrasyonları devre dışı bırakmak ve soruşturmayı desteklemek için dış siber güvenlik uzmanlarıyla etkileşim sağlamak gibi sistemlerini güvence altına almak için önlemler aldığını belirtti.
İlk bulgular, ele salınan verilerin öncelikle video meta verileri ve başlıklar gibi teknik bilgilerin yanı sıra bazı kullanıcı e-posta adreslerini içerdiğini gösteriyor. Vimeo, olayda herhangi bir video içeriği, giriş bilgileri veya ödeme kartı verilerinin açığa çıkmadığını vurguladı. Şirket ayrıca hizmetlerinde herhangi bir kesinti olmadığını bildirdi.
Saldırı, bulut veri platformlarına güvenen kuruluşları hedef alan daha geniş bir kampanyayla bağlantılı görünüyor. Güvenlik araştırmacıları daha önce, SaaS entegrasyonlarını içeren ihlallerin zincirleme riskler yaratabileceğini, saldırganların çalınan kimlik tokenlarını veya kimlik bilgilerini tekrar kullanarak birden fazla aşağı akış sistemine erişmek için kullanabileceğini belirtmişti.
ShinyHunters, son aylarda eğitim, finans ve teknoloji gibi sektörlerdeki kuruluşları hedef alan bir dizi yüksek profilli olayla ilişkilendirildi. Grubun operasyonları genellikle mağdurları müzakerelere zorlamak için kısa teslim tarihleri vermek, talepler yerine getirilmezse kamuoyuna sızdırmayı içerir.
Rapor sırasında Vimeo olayının tam kapsamı hâlâ soruşturma altındadır. Müzakerelerin devam edip etmediği veya herhangi bir veri yayımlanıp açıklanmadığı belirsiz. Dava, özellikle bulut hizmetleri ve harici entegrasyonların çekirdek operasyonlara derinlemesine yerleştiği ortamlarda üçüncü taraf bağımlılıklarıyla bağlantılı devam eden riskleri ortaya koyuyor.