Violation de données chez Vimeo expose les informations personnelles de 119 000 personnes

Violation de données chez Vimeo expose les informations personnelles de 119 000 personnes

Le groupe d’extorsion ShinyHunters a dérobé les informations personnelles de plus de 119 000 individus suite à une intrusion sur la plateforme de vidéos en ligne Vimeo en avril, d’après le service de notification de fuites Have I Been Pwned.

Cotée au Nasdaq, Vimeo réunit plus de 300 millions d’utilisateurs inscrits et compte environ 1 100 salariés. L’entreprise a affiché un chiffre d’affaires de 417 millions de dollars pour l’exercice fiscal 2024.

Une brèche via le fournisseur Anodot

Le 27 avril, Vimeo a annoncé qu’un accès non autorisé à des données clients et utilisateurs s’était produit à la suite d’une violation chez Anodot, spécialiste de la détection d’anomalies dans les données.

Les bases de données compromises renferment surtout des informations techniques, des titres de vidéos, des métadonnées, et parfois des adresses e-mail de clients, selon l’entreprise.

Réaction rapide sans impact sur les services

L’attaque n’a provoqué aucune interruption des opérations. Les assaillants n’ont pas obtenu de mots de passe ou de données financières des personnes touchées. Vimeo a immédiatement invalidé les identifiants Anodot, supprimé l’intégration avec ses systèmes, fait appel à des experts en sécurité externes et alerté les autorités.

Les contenus vidéos de Vimeo, les identifiants de connexion valides et les informations de cartes bancaires restent intacts. Les services n’ont subi aucune perturbation.

Vimeo entry on ShinyHunters DLS
Entrée Vimeo sur le site de fuite ShinyHunters (BleepingComputer)

Publication des données par ShinyHunters

Faute d’accord sur une rançon, ShinyHunters a diffusé une archive de 106 Go de documents volés sur son site dédié au dark web. Le gang pointe la compromission des instances Snowflake et BigQuery grâce à Anodot.com.

Have I Been Pwned précise que la fuite concerne 119 200 adresses e-mail, accompagnées parfois de noms.

Autres opérations du groupe

ShinyHunters a visé des dizaines d’entreprises via des jetons d’authentification Anodot. Une tentative sur des instances Salesforce a été stoppée par une détection basée sur l’IA.

Le gang mène aussi des campagnes de vishing contre des employés et agents de sous-traitance, visant les comptes Microsoft Entra, Okta et Google SSO. Ces accès permettent de piller des applications SaaS connectées comme Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365 ou Google Workspace.

Récemment, ShinyHunters revendique des attaques contre la Commission européenne, Rockstar Games, McGraw Hill, Medtronic, Carnival, Zara, 7-Eleven et Udemy.