视频服务 Vimeo 确认 Anodot 泄露导致用户数据曝光

Source: Bleeping Computer

Breach Overview

Vimeo披露，部分客户和用户的数据在最近对Anodot数据异常检测公司发生的泄露后被未经授权访问。威胁行为者获取了一些客户的电子邮件地址，但大部分泄露的信息是技术数据、视频标题和元数据。

“我们已确认，由于Anodot泄露，未经授权的行为者访问了某些Vimeo用户和客户的数据。我们的初步发现表明，被访问的数据库主要包含技术数据、视频标题和元数据，以及在某些情况下的客户电子邮件地址，” — Vimeo statement。

该泄露被勒索组织 ShinyHunters 宣称，并威胁在4月30日之前不支付赎金就会公开被盗数据。

Details of the Incident

• Source of the breach: 攻击者入侵了Vimeo使用的第三方服务Anodot，并利用被盗的身份验证令牌访问了Vimeo的Snowflake和BigQuery实例。
• Related activity: 同一组织还针对其他公司，包括Rockstar Games，声称已窃取超过7870万条记录。
• Threats: ShinyHunters警告称Vimeo可能会遭遇“若干恼人的数字问题”，并在其勒索门户上列出了该公司。

Impact on Vimeo Users

• Exposed data: 技术数据、视频标题、元数据，以及在某些情况下的客户电子邮件地址。
• Data not exposed: 用户上传的视频内容、账户凭证和支付卡信息。
• Operational impact: Vimeo平台的运营未受影响。

被盗数据的具体数量尚未披露。

Vimeo’s Response

• 禁用了所有Anodot凭证并移除了该服务的集成。
• 与第三方安全专家启动调查并通知执法部门。
• 承诺在出现新的、重要信息时提供更新。