Vimeo macht für den Angriff einen Drittanbieter verantwortlich. Konkret zielten die Täter laut dem Unternehmen auf die Analyseplattform Anodot. Als Reaktion auf den Vorfall seien die Anodot-Zugangsdaten deaktiviert und die Integration mit den Vimeo-Systemen entfernt worden.
Erbeutet wurden nach Angaben von Vimeo Datenbanken mit technischen Daten, Videotiteln und Metadaten sowie E-Mail-Adressen einiger Kunden. „Die abgerufenen Daten umfassen keine Vimeo-Videoinhalte, keine gültigen Anmeldedaten von Nutzern und keine Zahlungskartendaten", erklärte das Unternehmen. Die Anmeldedaten von Nutzern und Kunden seien sicher, und der Vorfall habe zu keiner Unterbrechung von Systemen oder Diensten geführt.
„Wir haben Maßnahmen ergriffen, um unsere Umgebung abzusichern, und beobachten die Lage weiterhin genau", sagte ein Vimeo-Sprecher gegenüber SecurityWeek. Die Untersuchung läuft den Angaben zufolge noch, die Strafverfolgungsbehörden wurden informiert.
Zu dem Angriff bekannt hat sich die Gruppe ShinyHunters. Sie behauptet, Daten aus den Snowflake- und BigQuery-Instanzen des Unternehmens erlangt zu haben, und droht mit der Veröffentlichung der gestohlenen Dateien, falls kein Lösegeld gezahlt wird. Vimeo wurde dafür eine Frist bis zum 30. April gesetzt.
Die Cybercrime-Gruppe hatte zuvor die Salesforce-Instanzen von Organisationen sowie weitere weit verbreitete Dienste ins Visier genommen. Auf der Website von ShinyHunters waren zum Zeitpunkt der Veröffentlichung drei Organisationen aufgeführt, die mutmaßlich über Anodot angegriffen wurden: Vimeo, Rockstar Games und der Modehändler Zara.