Video platformu Vimeo, ShinyHunters şantaj grubuyla bağlantılı bir siber saldırının ardından 119.000’den fazla kullanıcıya ait kişisel bilgilerin ortaya çıkarıldığını doğruladı.
Olay, Vimeo ve diğer birçok şirket tarafından kullanılan üçüncü taraf analitik sağlayıcı Anodot’u içeren bir ihlalden kaynaklanıyor. Vimeo’ya göre, saldırganlar ele salınan entegrasyon sayesinde belirli kullanıcı ve müşteri verilerine yetkisiz erişim sağladı.
Veri ihlali takip hizmeti Have I Been Pwned daha sonra açıklanmış veri setinin yaklaşık 119.200 benzersiz e-posta adresi içerdiğini, bazı durumlarda isimlerin de dahil olduğunu doğruladı.
Vimeo, ele salınan bilgilerin esas olarak teknik veriler, video başlıkları, meta veriler ve bazı müşteri e-posta adreslerini içerdiğini belirtti. Şirket, olay sırasında yüklenen video içeriği, kullanıcı giriş bilgileri ve ödeme kartı bilgilerine erişilmediğini vurguladı.
Saldırı, Vimeo’yu şantaj portalında kamuoyuna listeleyen ve fidye talebi yerine getirilmezse çalınan dosyaları sızdırmakla tehdit eden ShinyHunters siber suç grubuyla bağlantılı. Grup, Vimeo’nun Snowflake ve BigQuery ortamlarından Anodot tehlikesi yoluyla verilere eriştiğini iddia etti.
Güvenlik araştırmacıları, bu olayın, saldırganların üçüncü taraf entegrasyonları ve bulut analitik platformlarını hedef alarak müşteri ortamlarına aşağıdan erişim sağlama eğilimini yansıttığını söylüyor. Bu durumda, Anodot’a bağlı tehlikeye girmiş kimlik tokenlarının, Vimeo’nun kendi altyapısını doğrudan ihlal etmeden yetkisiz erişime izin verdiği bildirildi.
Keşfin ardından Vimeo, tüm Anodot kimlik bilgilerini iptal etti, analitik entegrasyonunu sistemlerinden kaldırdı ve ihlali araştırmak için dış siber güvenlik uzmanlarıyla görevlendirdi. Şirket ayrıca kolluk kuvvetlerini bilgilendirdi.
Şirket, saldırının hizmetleri veya platform operasyonlarını kesintiye uğratmadığını belirtti. Ancak, ortaya çıkan e-posta adresleri ve meta veriler, özellikle siber suç gruplarının sızdırılan veri setlerini takip kampanyalarında giderek daha fazla silah haline getirmesi nedeniyle, etkilenen kullanıcılar için oltalama ve sosyal mühendislik riskleri yaratmaya devam edebilir.
Bu ihlal, Vimeo’yu 2026’da Anodot ve ShinyHunters’ın faaliyetleriyle bağlantılı saldırılardan etkilenen kuruluşların artan listesine ekliyor. Araştırmacılar, kampanyanın birbirine bağlı bulut hizmetleri ve analitik entegrasyonları aracılığıyla birden fazla şirketi etkilediğine inanıyor.