A Vimeo informou que dados de alguns de seus clientes e usuários foram acessados sem autorização após a recente invasão à empresa Anodot, especializada em detecção de anomalias de dados.
Segundo a plataforma de vídeo, o threat actor acessou endereços de e-mail de parte dos clientes, mas a maior parte das informações expostas incluía dados técnicos, títulos de vídeos e metadados.
“Identificamos que, como resultado da invasão à Anodot, um ator não autorizado acessou determinados dados de usuários e clientes da Vimeo.
Nossas conclusões iniciais indicam que os bancos de dados acessados continham principalmente dados técnicos, títulos de vídeos e metadados e, em alguns casos, endereços de e-mail de clientes”, afirmou a Vimeo.
A invasão foi reivindicada pelo conhecido grupo de extorsão ShinyHunters, que ameaçou publicar os dados roubados até 30/04 caso a empresa não pagasse um resgate.
A Vimeo é uma plataforma de hospedagem e streaming de vídeos, uma das maiores alternativas ao YouTube, e permite que mais de 300 milhões de usuários cadastrados enviem, armazenem e compartilhem vídeos em alta qualidade.
A companhia emprega mais de 1.100 pessoas, tem receita anual de US$ 417 milhões e é listada na bolsa Nasdaq.
Ontem, o ShinyHunters incluiu a Vimeo em seu portal de extorsão, alegando possuir dados das instâncias Snowflake e BigQuery da empresa.
Além de ameaçar vazar as informações, o grupo também enviou um alerta à companhia, dizendo que a plataforma deveria esperar “vários problemas digitais irritantes”.
O incidente na Anodot envolveu invasores que roubaram tokens de autenticação e os usaram para acessar ambientes de clientes, principalmente no Snowflake, e extrair dados de várias organizações.
A atividade foi atribuída ao grupo de extorsão ShinyHunters, que agora tenta monetizar a invasão por meio de extorsão e da ameaça de divulgar os dados roubados de diferentes vítimas indiretas.
Uma dessas vítimas foi o estúdio de desenvolvimento de jogos Rockstar Games, com o ShinyHunters alegando ter extraído mais de 78,6 milhões de registros.
No caso da Vimeo, porém, o impacto ainda não está claro, já que o grupo não informou a quantidade de dados roubados.
A Vimeo esclareceu que os dados expostos não incluem o conteúdo dos vídeos enviados pelos usuários à plataforma, credenciais de conta nem informações de cartão de pagamento.
A empresa também afirmou que suas operações não foram afetadas.
A companhia desativou todas as credenciais da Anodot e removeu a integração do serviço com seus sistemas.
A Vimeo agora investiga o incidente com o apoio de especialistas externos em segurança e também notificou as autoridades.
A empresa prometeu divulgar atualizações caso a apuração revele novas informações relevantes sobre o caso.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...