La plateforme de partage de vidéos Vimeo a récemment révélé qu’une partie de ses données utilisateurs et clients a été compromise à la suite d’une violation de sécurité chez Anodot, une entreprise spécialisée dans la détection d’anomalies de données.
Selon les informations fournies par Vimeo, les pirates ont principalement accédé à des données techniques, aux titres de vidéos et aux métadonnées, bien que certaines adresses e-mail de clients aient également été exposées. La société a déclaré : « Nous avons identifié qu’en raison de la violation chez Anodot, un acteur non autorisé a accédé à certaines données d’utilisateurs et de clients de Vimeo. Nos premières constatations suggèrent que les bases de données accessibles contiennent principalement des données techniques. »
Le groupe d’extorsion ShinyHunters a revendiqué la violation, menaçant de publier les données volées d’ici le 30 avril si la société ne versait pas une rançon. Vimeo, qui compte plus de 300 millions d’utilisateurs enregistrés et un chiffre d’affaires annuel d’environ 417 millions de dollars, est l’une des principales alternatives à YouTube.
Dans leur menace, ShinyHunters a inclus un avertissement pour la plateforme, promettant des « problèmes numériques agaçants » à venir. Le groupe a également mentionné avoir accès aux instances Snowflake et BigQuery de la société.
L’incident chez Anodot a permis aux intrus de voler des jetons d’authentification, ce qui leur a permis d’accéder à divers environnements clients et d’exfiltrer des données de plusieurs organisations. ShinyHunters cherche actuellement à tirer profit de cette violation par le biais de l’extorsion.
Un des autres victimes de cette campagne est le studio de développement de jeux Rockstar Games, dont les membres ont affirmé avoir exfiltré plus de 78,6 millions d’enregistrements.
Concernant Vimeo, les répercussions de l’attaque restent floues, car le nombre de données compromises n’a pas été précisé. Cependant, la société a assuré que les données exposées ne comprennent pas le contenu vidéo téléchargé par les utilisateurs, les identifiants de compte ou les informations de carte de paiement, et que ses opérations n’ont pas été affectées.
Pour renforcer la sécurité, Vimeo a désactivé tous les identifiants associés à Anodot et a supprimé l’intégration de ce service avec ses systèmes. Actuellement, la société mène une enquête avec l’aide d’experts en sécurité tiers et a informé les autorités judiciaires.
Vimeo s’engage à fournir des mises à jour si de nouvelles informations pertinentes émergent de l’enquête.