Vimeo telah mengungkapkan bahwa data milik beberapa pelanggan dan penggunanya telah diakses tanpa izin menyusul pelanggaran baru-baru ini di perusahaan pendeteksi anomali data Anodot.
Platform video tersebut mengatakan bahwa pelaku ancaman mengakses alamat email beberapa pelanggannya, namun sebagian besar informasi yang terungkap mencakup data teknis, judul video, dan metadata.
“Kami telah mengidentifikasi bahwa, sebagai akibat dari pelanggaran Anodot, aktor yang tidak berwenang mengakses data pengguna dan pelanggan Vimeo tertentu. Temuan awal kami menunjukkan bahwa basis data yang diakses terutama berisi data teknis, judul video dan metadata, dan, dalam beberapa kasus, alamat email pelanggan,” negara bagian Vimeo.
Pelanggaran Vimeo diklaim oleh kelompok pemerasan terkenal ShinyHunters, yang mengancam akan mempublikasikan data yang dicuri pada tanggal 30 April kecuali perusahaan tersebut membayar uang tebusan.
Vimeo adalah platform hosting dan streaming video, salah satu alternatif terbesar selain YouTube, yang memungkinkan lebih dari 300 juta pengguna terdaftar untuk mengunggah, menghosting, dan berbagi video berkualitas tinggi.
Perusahaan ini mempekerjakan lebih dari 1.100 orang, memiliki pendapatan tahunan sebesar $417 juta, dan diperdagangkan secara publik di pasar saham Nasdaq.
Kemarin, ShinyHunters mencantumkan Vimeo di portal pemerasan mereka, mengklaim memiliki data dari instance Snowflake dan BigQuery perusahaan.
Selain mengancam akan membocorkan data, aktor tersebut juga mengeluarkan peringatan kepada perusahaan, yang menyatakan bahwa platform tersebut akan menghadapi “beberapa masalah digital yang mengganggu.”
Itu Kejadian Anodot melibatkan penyerang yang mencuri token autentikasi dan menggunakannya untuk mengakses lingkungan pelanggan, terutama Snowflake, dan mengambil data dari beberapa organisasi.
Aktivitas tersebut telah dikaitkan dengan kelompok pemerasan ShinyHunters, yang kini berupaya memonetisasi pelanggaran tersebut melalui pemerasan dan dengan mengancam akan membocorkan data yang dicuri dari berbagai korban hilir.
Salah satu korbannya adalah studio pengembangan game Permainan Bintang Rockdengan ShinyHunters mengklaim telah mengeksfiltrasi lebih dari 78,6 juta rekaman.
Namun dalam kasus Vimeo, dampaknya masih belum jelas karena pelaku tidak menyebutkan jumlah data yang dicuri.
Vimeo telah menetapkan bahwa data yang terungkap tidak termasuk konten video yang diunggah pengguna ke platform, kredensial akun, atau informasi kartu pembayaran. Selain itu, operasional platform tetap tidak terpengaruh.
Perusahaan kini telah menonaktifkan semua kredensial Anodot dan menghapus integrasi layanan dengan sistemnya.
Vimeo kini menyelidiki insiden tersebut dengan bantuan pakar keamanan pihak ketiga dan juga telah memberi tahu pihak penegak hukum.
Perusahaan tersebut berjanji akan memberikan informasi terkini jika penyelidikan mengungkap informasi baru yang penting tentang insiden tersebut.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
