Пробив во Vimeo откри лични податоци на над 119.000 корисници

Ексторзионата група ShinyHunters украла лични информации на повеќе од 119.000 лица по хакирање на онлајн видео платформата Vimeo во април, според сервисот за известување за пробиви на податоци Have I Been Pwned.

Vimeo е платформа за хостирање и стриминг на видеа, јавно котирана на берзата Nasdaq, со над 300 милиони регистрирани корисници, повеќе од 1.100 вработени и пријавени приходи од 417 милиони долари за фискалната 2024 година.

Компанијата на 27 април објави дека податоци на корисници и клиенти биле пристапени без овластување по неодамнешен пробив кај Anodot, компанија за детекција на аномалии во податоци.

„Нашите првични наоди сугерираат дека пристапените бази на податоци главно содржат технички податоци, наслови на видеа и метаподатоци, а во некои случаи и е-мејл адреси на корисници,“ соопшти Vimeo.

Сепак, компанијата истакна дека нападот не предизвикал прекини во услугата и дека напаѓачите не добиле пристап до кориснички лозинки или финансиски информации. Vimeo исто така ги оневозможил сите креденцијали поврзани со Anodot по откривањето на пробивот и ја отстранил интеграцијата со своите системи за да го прекине пристапот на напаѓачите.

„Пристапените податоци не вклучуваат видео содржини од Vimeo, валидни кориснички лозинки или информации за платежни картички. Логин податоците остануваат безбедни. Овој инцидент не предизвика прекин во нашите системи или услуги,“ додаде компанијата. „Веднаш по дознавањето за инцидентот, ги оневозможивме сите Anodot креденцијали, ја отстранивме интеграцијата и ангажиравме надворешни експерти за безбедност за да помогнат во истрагата. Исто така ги известивме и органите на редот.“

По објавата на Vimeo, сајбер-криминалната група ShinyHunters објавила архивa од 106GB со украдени документи на својот сајт на dark web, откако не успеала да изнуди плаќање од компанијата.

„Вашите податоци од Snowflake и BigQuery инстанците беа компромитирани благодарение на Anodot.com,“ изјави групата. „Компанијата не постигна договор со нас и покрај нашето трпение и сите понуди што ги дадовме.“

Иако Vimeo сè уште нема објавено точен број на засегнати лица, сервисот Have I Been Pwned ја анализирал украдената база и утврдил дека пробивот открил е-мејл адреси и (во некои случаи) имиња на 119.200 луѓе.

Претходно, сајбер-криминалната група ShinyHunters изјавила за BleepingComputer дека украла податоци од десетици компании користејќи автентикациски токени од Anodot. Тие исто така потврдиле дека се обиделе да украдат податоци од Salesforce инстанци, но биле блокирани од системи за детекција базирани на вештачка интелигенција.

ShinyHunters се поврзува и со масовна „vishing“ кампања која ги таргетира вработените и агентите во BPO (Business Process Outsourcing) компании, со цел компромитирање на нивните сметки преку Microsoft Entra, Okta и Google SSO (Single Sign-On) системи.

Откако ќе ги компромитираат корпоративните SSO сметки, напаѓачите крадат податоци од поврзани SaaS апликации, вклучувајќи ги Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365, Google Workspace и други.

Меѓу другите пробиви што ги тврди ShinyHunters во последните недели се оние кај European Commission, Rockstar Games, McGraw Hill, како и понови случаи со Medtronic, Carnival Corporation, Zara, 7-Eleven и Udemy.

Извори:

• Bleeping Computer – Vimeo data breach exposes personal information of 119,000 people Bleeping Computer