Vimeo

O grupo de cibercrime ShinyHunters comprometeu informações pessoais de mais de 119 mil usuários após invadir a plataforma de vídeos Vimeo em abril. A violação foi confirmada pelo serviço de notificação de vazamentos Have I Been Pwned, que analisou os dados expostos. A Vimeo, que possui mais de 300 milhões de usuários registrados, informou que os dados acessados incluíam principalmente informações técnicas, títulos de vídeos e, em alguns casos, endereços de e-mail dos clientes. A empresa garantiu que não houve acesso a credenciais de login ou informações financeiras dos usuários. Após a descoberta da violação, a Vimeo desativou as credenciais da Anodot, uma empresa de detecção de anomalias de dados, que estava integrada ao seu sistema. O grupo ShinyHunters, após não conseguir extorquir a Vimeo, vazou um arquivo de 106GB com documentos roubados em seu site na dark web. Além disso, o grupo tem um histórico de ataques a várias empresas, incluindo tentativas de roubo de dados de plataformas como Salesforce e campanhas de vishing direcionadas a contas de SSO. Este incidente destaca a vulnerabilidade das integrações de terceiros e a necessidade de vigilância constante em relação a acessos não autorizados.

A plataforma de vídeos Vimeo confirmou que dados de alguns de seus usuários foram acessados sem autorização, em decorrência de uma violação de segurança na empresa Anodot, especializada em detecção de anomalias de dados. O ataque resultou na exposição de endereços de e-mail de clientes, além de dados técnicos, títulos de vídeos e metadados. A violação foi reivindicada pelo grupo de extorsão ShinyHunters, que ameaçou divulgar as informações roubadas até 30 de abril, a menos que um resgate fosse pago. Embora a Vimeo tenha assegurado que os dados expostos não incluem conteúdo de vídeo, credenciais de conta ou informações de cartões de pagamento, a empresa desativou todas as credenciais da Anodot e removeu a integração do serviço com seus sistemas. A Vimeo está investigando o incidente com a ajuda de especialistas em segurança e notificou as autoridades competentes. O impacto total da violação ainda não está claro, mas a empresa prometeu atualizações conforme novas informações forem descobertas.