Vimeodas mehr als 300 Millionen registrierte Benutzer hat, steht auf der Jagdliste und dem Erpressungsportal der Cyberkriminellengruppe ShinyHunters. Letzterer behauptet, Daten aus den Snowflake- und BigQuery-Instanzen des Unternehmens zu speichern. Der Eingriff ist Teil einer Angriffskampagne, die andere Unternehmen wie Rockstar Games in gleicher Weise getroffen hat.

Welche Daten sind von diesem Leak betroffen?

Der Mitteilung von Vimeo zufolge hatten die Angreifer vor allem Zugriff auf technische Datenobwohl möglicherweise auch E-Mail-Adressen kompromittiert wurden.

Unsere ersten Ergebnisse deuten darauf hin, dass die durchsuchten Datenbanken hauptsächlich technische Daten, Videotitel und Metadaten sowie in einigen Fällen E-Mail-Adressen von Kunden enthalten.

Vimeo weist darauf hin, dass das Leck nicht „ weder der Inhalt von Videos, die von Benutzern hochgeladen wurden, noch Anmeldeinformationen oder Zahlungskarteninformationen „Auch die Dienste der Plattform blieben ohne Unterbrechung betriebsbereit.“

Ein Angriff auf die Lieferkette

Anstatt Vimeo direkt anzugreifen, nutzten die Angreifer eine Schwachstelle in Anodot ausein auf Datenanalyse spezialisierter Drittanbieter. Es gelang ihnen, Authentifizierungstoken zu stehlen und sich so Zugang zu den Cloud-Umgebungen von Anodot-Kunden zu verschaffen, einschließlich der auf Snowflake gehosteten.

Bildquelle: BleepingComputer

Die ShinyHunters-Gruppe ist für ihre Social-Engineering-Taktiken bekannt, bei denen sie Sprachanrufe oder Phishing nutzt, um sich als IT-Support auszugeben und Zugriff zu erhalten. Diese Vorgehensweise hat sich gegenüber mehreren Organisationen als wirksam erwiesen.

Vimeo sagt, es habe schnell reagiert, um die Bedrohung einzudämmen

Sobald uns der Vorfall bekannt wurde, haben wir schnell alle Anodot-Kennungen deaktiviert und die Integration des Dienstes in die Systeme von Vimeo entfernt „, versichert Vimeo.

Gleichzeitig leitete Vimeo mithilfe von Cybersicherheitsexperten eine eingehende Untersuchung ein, um das volle Ausmaß des Einbruchs einzuschätzen. Die zuständigen Behörden wurden über den Vorfall informiert.