A Vimeo áprilisi biztonsági incidense a korábban ismertnél pontosabban mérhető kört érintett: a Have I Been Pwned friss bejegyzése szerint nagyjából 119 ezer egyedi e-mail-cím került ki a ShinyHunters zsarolócsoport által megszerzett és később közzétett adatok közé. A kiszivárgott csomag többségében technikai adatokat, videócímeket és metaadatokat tartalmazott, de egyes esetekben nevek is társultak az e-mail-címekhez. A Vimeo szerint a támadás nem közvetlenül a saját rendszereiből indult, hanem az Anodot nevű külső analitikai szolgáltató incidenséhez kapcsolódott. Az Anodot felhőalapú, AI-támogatott üzleti elemzőrendszereket kínál, és a beszámolók szerint a támadók az integrációkon keresztül férhettek hozzá több ügyfél, köztük a Vimeo Snowflake-környezetéhez. A Vimeo korábbi tájékoztatása alapján a támadók elsősorban technikai adatokat, videócímeket és metaadatokat értek el, egyes esetekben pedig ügyfél e-mail-címeket is.
A vállalat hangsúlyozta, hogy a kiszivárgott adatok között nem voltak Vimeo-videótartalmak, érvényes bejelentkezési adatok vagy bankkártya-információk. A felhasználói jelszavak tehát a cég közlése szerint nem kerültek veszélybe, és az incidens nem okozott fennakadást a szolgáltatás működésében. A Vimeo az eset felfedezése után letiltotta az Anodothoz kapcsolódó hitelesítő adatokat, megszüntette az integrációt, külső biztonsági szakértőket vont be, és értesítette a hatóságokat.
A történet akkor kapott új lendületet, amikor a ShinyHunters a sikertelen zsarolási tárgyalások után közzétette a megszerzett fájlokat. A BleepingComputer szerint a csoport azt állította, hogy a Vimeo Snowflake- és BigQuery-adatai az Anodot miatt kerültek veszélybe, majd kiszivárogtatta az anyagot. A Have I Been Pwned ezt követően elemezte a csomagot, és 119 200 érintett e-mail-címet azonosított. Bár ez nem olyan súlyú adatszivárgás, mintha jelszavak, fizetési adatok vagy privát videók kerültek volna ki, az érintetteknek így is érdemes óvatosnak lenniük. Egy névvel párosított e-mail-cím elég lehet ahhoz, hogy a támadók hitelesebbnek tűnő adathalász leveleket küldjenek, például Vimeo-értesítésnek álcázott üzenetekkel próbáljanak bejelentkezési adatokat vagy más érzékeny információkat megszerezni. A legfontosabb, hogy senki ne kattintson gyanús linkekre, ne adja meg a jelszavát e-mailből nyitott oldalon, és ha bármilyen Vimeo-val kapcsolatos figyelmeztetést kap, inkább közvetlenül a hivatalos oldalon ellenőrizze a fiókját.
Az eset ismét azt mutatja, hogy egy nagy szolgáltatás biztonsága nem csak a saját rendszerein múlik. A külső analitikai, felhős és üzleti eszközök sokszor mélyen beépülnek a cégek működésébe, és ha egy ilyen kapcsolat túl széles hozzáférést kap, egy beszállítói incidens gyorsan több vállalat ügyfeleinek adatait is érintheti. A Vimeo most azt kommunikálja, hogy a legsúlyosabb adatok nem kerültek ki, de 119 ezer e-mail-cím így is elég ahhoz, hogy az érintetteknek a következő hetekben különösen figyelniük kelljen a gyanús üzenetekre.
