비디오 서비스 Vimeo, Anodot 침해로 사용자 데이터 노출 확인

Source: Bleeping Computer

침해 개요

Vimeo는 최근 Anodot 데이터 이상 탐지 회사에서 발생한 침해 사건 이후 일부 고객 및 사용자 데이터가 무단으로 접근되었음을 공개했습니다. 위협 행위자는 일부 고객의 이메일 주소에 접근했지만, 노출된 대부분의 정보는 기술 데이터, 비디오 제목 및 메타데이터였습니다.

“Anodot 침해의 결과로, 무단 행위자가 특정 Vimeo 사용자 및 고객 데이터에 접근한 것을 확인했습니다. 초기 조사 결과, 접근된 데이터베이스에는 주로 기술 데이터, 비디오 제목 및 메타데이터가 포함되어 있으며, 경우에 따라 고객 이메일 주소도 포함되어 있습니다,” — Vimeo 성명.

이 침해는 ShinyHunters라는 몸값 요구 그룹에 의해 주장되었으며, 4월 30일까지 몸값을 지불하지 않으면 도난된 데이터를 공개하겠다고 위협했습니다.

사건 상세

• 침해 출처: 공격자는 Vimeo가 사용하는 제3자 서비스인 Anodot을 탈취하고, 탈취한 인증 토큰을 이용해 Vimeo의 Snowflake 및 BigQuery 인스턴스에 접근했습니다.
• 관련 활동: 동일한 그룹은 Rockstar Games를 포함한 다른 조직을 표적으로 삼아 7,860만 건 이상의 레코드를 유출했다고 주장했습니다.
• 위협: ShinyHunters는 Vimeo가 “여러 번거로운 디지털 문제”를 겪을 수 있다고 경고했으며, 자사의 몸값 요구 포털에 회사를 등재했습니다.

Vimeo 사용자에 대한 영향

• 노출된 데이터: 기술 데이터, 비디오 제목, 메타데이터, 경우에 따라 고객 이메일 주소.
• 노출되지 않은 데이터: 사용자가 업로드한 비디오 콘텐츠, 계정 인증 정보, 결제 카드 정보.
• 운영 영향: Vimeo 플랫폼 운영에는 영향을 주지 않았습니다.

정확한 도난 데이터 양은 공개되지 않았습니다.

Vimeo의 대응

• 모든 Anodot 자격 증명을 비활성화하고 해당 서비스 통합을 제거했습니다.
• 제3자 보안 전문가와 함께 조사를 시작했으며, 법 집행 기관에 통보했습니다.
• 새로운 중요한 정보가 발생하면 업데이트를 제공하겠다고 약속했습니다.