Vimeo bestätigt Datenabfluss nach Einbruch bei Anodot

Zusammenfassung

Die Videoplattform Vimeo hat eingeräumt, dass infolge des jüngsten Einbruchs beim Unternehmen Anodot, das auf die Erkennung von Datenanomalien spezialisiert ist, Daten einiger Kunden und Nutzer unbefugt abgerufen wurden. Nach Angaben von Vimeo griff der Angreifer auf E-Mail-Adressen einiger Kunden zu; der größte Teil der betroffenen Informationen bestand jedoch aus technischen Daten, Videotiteln und Metadaten. Zu dem Vorfall bekannte sich die Erpressergruppe ShinyHunters, die drohte, die gestohlenen Daten zu veröffentlichen, falls Vimeo kein Lösegeld zahle. Vimeo ist eine der größten Alternativen zu YouTube und ermöglicht mehr als 300 Millionen registrierten Nutzern, hochwertige Videos hochzuladen, zu hosten und zu teilen. Das börsennotierte Unternehmen beschäftigt über 1.100 Mitarbeiter und erzielt einen Jahresumsatz von 417 Millionen US-Dollar. Wie viele Daten tatsächlich abflossen, bleibt unklar, da die Angreifer im Fall Vimeo keine Mengenangabe machten. Klar ist nach Darstellung des Unternehmens hingegen, was nicht betroffen ist: Hochgeladene Videoinhalte, Zugangsdaten und Zahlungskartendaten sollen nicht erfasst worden sein, und der Betrieb der Plattform lief ungestört weiter.

In einer Stellungnahme erklärte Vimeo, man habe festgestellt, dass infolge des Anodot-Einbruchs ein unbefugter Akteur auf bestimmte Nutzer- und Kundendaten zugegriffen habe. Erste Erkenntnisse deuteten darauf hin, dass die betroffenen Datenbanken in erster Linie technische Daten, Videotitel und Metadaten und in einigen Fällen Kunden-E-Mail-Adressen enthielten.

Verantwortlich für den Angriff auf Vimeo ist nach eigenen Angaben die Erpressergruppe ShinyHunters. Sie listete Vimeo auf ihrem Erpressungsportal und behauptet, Daten aus den Snowflake- und BigQuery-Instanzen des Unternehmens erbeutet zu haben. Neben der Drohung, die Daten zu veröffentlichen, kündigte die Gruppe an, die Plattform solle mit „mehreren lästigen digitalen Problemen" rechnen.

Der Ausgangspunkt war der Vorfall bei Anodot: Dort stahlen die Angreifer Authentifizierungs-Token und nutzten diese, um auf Kundenumgebungen – vor allem auf Snowflake – zuzugreifen und Daten mehrerer Organisationen abzuziehen. Die Aktivität wird ebenfalls ShinyHunters zugeschrieben, die nun versucht, den Einbruch durch Erpressung und die angedrohte Veröffentlichung der gestohlenen Daten verschiedener nachgelagerter Opfer zu Geld zu machen.

Eines dieser Opfer war das Spielestudio Rockstar Games; hier behauptet ShinyHunters, mehr als 78,6 Millionen Datensätze entwendet zu haben. Im Fall Vimeo bleibt das Ausmaß dagegen offen, da die Gruppe keine Angaben zur Menge der gestohlenen Daten machte.

Vimeo betont, dass die betroffenen Daten weder die von Nutzern hochgeladenen Videoinhalte noch Zugangsdaten oder Zahlungskartendaten umfassen und der Betrieb der Plattform nicht beeinträchtigt war. Das Unternehmen hat sämtliche Anodot-Zugangsdaten deaktiviert und die Integration des Dienstes aus seinen Systemen entfernt.

Den Vorfall untersucht Vimeo nun mit Unterstützung externer Sicherheitsexperten und hat zudem die Strafverfolgungsbehörden informiert. Sollte die Untersuchung wesentliche neue Erkenntnisse liefern, will das Unternehmen weitere Informationen nachreichen.

Vimeo bestätigt Datenabfluss nach Einbruch bei Anodot

Ähnliche Artikel

Neueste Artikel