- Have I Been Pwned confirmou que ao menos 119 mil endereços de e-mail de usuários do Vimeo foram expostos, com alguns nomes completos.
- A brecha ocorreu por meio da empresa Anodot, parceira de análise de dados da Vimeo; o ataque teve início em 4 de abril.
- A Vimeo informou que os dados acessados incluíam dados técnicos, títulos de vídeos e metadados, e que conteúdo de vídeo, credenciais de login e dados de cartão não estavam entre os itens comprometidos.
- O grupo ShinyHunters alega que o alcance real é maior do que o divulgado e afirma ter comprometido instâncias Snowflake e BigQuery da plataforma via Anodot.
- Em resposta, a Vimeo desativou as credenciais da Anodot, removeu a integração, contratou especialistas em segurança e notificou as autoridades; usuários devem ficar atentos a e-mails de phishing.
O Vimeo sofreu vazamento de dados após um ciberataque, expondo pelo menos 119 mil endereços de e-mail de usuários. A confirmação foi feita pelo Have I Been Pwned, serviço de monitoramento de violações, que também aponta nomes completos em alguns registros. O ataque é o primeiro número concreto desde a confirmação da plataforma no fim de abril.
O golpe teve como vetor a integração terceirizada com a empresa de analytics Anodot, com a brecha ocorrendo por meio de sistemas compartilhados entre Vimeo e o fornecedor. Segundo o Have I Been Pwned, os dados expostos incluem informações técnicas, títulos de vídeos e metadados, mas não conteúdo de vídeo, credenciais válidas de login ou dados de cartão de pagamento.
A confirmação de que endereços de e-mail foram comprometidos eleva o risco de phishing direcionado aos usuários afetados. Em paralelo, o grupo criminoso ShinyHunters afirma que o alcance real do incidente é maior do que o divulgado pela Vimeo, dizendo ter acessado instâncias Snowflake e BigQuery via Anodot.
A Vimeo informou ter desativado todas as credenciais associadas à Anodot, removido a integração e contratado especialistas em segurança. A empresa também notificou autoridades competentes e prometeu atualizações à medida que a investigação avança, sem indicar estimativas de como o problema será resolvido.
A situação reforça o papel de fornecedores terceirizados como possível ponto de entrada para incidentes de segurança. Mesmo com defesas internas robustas, a exposição pode ocorrer por meio de integrações que, se mal protegidas, amplificam o alcance de ataques.
Entre na conversa da comunidade