Vimeo 数据泄露暴露了119,000名用户的个人信息

Source: Bleeping Computer

违规概览

据数据泄露通知服务 Have I Been Pwned 称，ShinyHunters 勒索团伙在四月入侵 Vimeo 在线视频平台后，窃取了超过 119,000 人的个人信息。

Vimeo 是一家在纳斯达克上市的视频托管与流媒体平台，拥有超过 3 亿注册用户、1,100 多名员工，2024 财年的报告收入为 4.17亿美元。

该公司 于 4 月 27 日披露，在 Anodot（数据异常检测服务）近期的泄露事件 之后，客户和用户数据被未授权访问。

“我们的初步发现表明，被访问的数据库主要包含技术数据、视频标题和元数据，以及在某些情况下的客户电子邮件地址，” Vimeo 说。

Vimeo的回应

Vimeo 表示攻击 未 导致任何服务中断，且威胁行为者未获取受影响个人的凭证或财务信息。公司在发现泄露后禁用了所有 Anodot 凭证，并将 Anodot 集成从其系统中移除。

“被访问的数据不包括 Vimeo 视频内容、有效的用户登录凭证或支付卡信息。Vimeo 用户和客户的登录凭证是安全的。本事件未导致我们的系统或服务出现任何中断……在得知事件后，我们立即禁用了所有 Anodot 凭证，移除了 Vimeo 系统中的 Anodot 集成，并邀请第三方安全专家协助调查。我们也已通知执法部门。”

在 Vimeo 公开披露后，ShinyHunters 在其暗网数据泄露站点上泄露了一个 106 GB 的被盗文档档案，因为未能对公司进行勒索成功。

“你的 Snowflake 和 BigQuery 实例数据因 Anodot.com 而被泄露，”勒索团伙写道。“公司未能与我们达成协议，尽管我们表现出极大的耐心，提供了所有机会和报价。”

ShinyHunters 泄露站点上的 Vimeo 条目（BleepingComputer）

虽然 Vimeo 未披露被盗信息的确切人数，但 Have I Been Pwned 分析了泄露的数据，报告称此次泄露暴露了 119,200 人的电子邮件地址，部分情况下还包括姓名。

ShinyHunters的更广泛活动

此前，该组织向 BleepingComputer 称其使用 Anodot 身份验证令牌窃取了数十家公司的数据。ShinyHunters 还确认曾尝试窃取 Salesforce 实例中的数据，但表示这些尝试被基于 AI 的检测拦截。

该团伙已被关联到一个 广泛的语音钓鱼（vishing）活动，目标是员工和 BPO 代理的 Microsoft Entra、Okta 和 Google SSO 账户。突破企业 SSO 账户后，他们会从连接的 SaaS 应用程序中导出数据，包括 Salesforce、SAP、Slack、Adobe、Atlassian、Zendesk、Dropbox、Microsoft 365、Google Workspace 等。

ShinyHunters 声称的近期泄露事件包括：

• European Commission
• Rockstar Games
• McGraw Hill
• Medtronic
• Carnival（邮轮运营商）
• Zara（快时尚零售商）
• 7‑Eleven（便利店连锁）
• Udemy（在线培训公司）