Vimeo bestätigt Datenabfluss über Sicherheitsvorfall beim Dienstleister Anodot

Zusammenfassung

Die Videoplattform Vimeo hat bestätigt, dass bei einem aktuellen Sicherheitsvorfall Nutzer- und Kundendaten gestohlen wurden — nicht aus den eigenen Systemen, sondern über den externen Analyse-Dienstleister Anodot. Ein Sprecher von Vimeo verband Behauptungen einer cyberkriminellen Gruppe über einen Datendiebstahl mit einem Sicherheitsvorfall bei dem Geschäftsanalyse-Unternehmen Anodot. In einem Blogbeitrag ordnete Vimeo den jüngsten Angriff auf Anodot einer längeren Reihe von Attacken durch Shinyhunters und verbundene Gruppierungen zu. Nach Angaben des Sicherheitsteams griff ein unbefugter Akteur infolge des Anodot-Vorfalls bestimmte Nutzer- und Kundendaten von Vimeo ab. Die betroffenen Datenbanken enthielten den ersten Erkenntnissen zufolge vor allem technische Daten, Videotitel und Metadaten sowie in einigen Fällen Kunden-E-Mail-Adressen. Videoinhalte, Anmeldedaten und Zahlungskartendaten waren laut Vimeo nicht betroffen, und es kam zu keiner Störung der Dienste. Anodot reagierte nicht auf Anfragen. Die Untersuchung des Vorfalls dauert an.

Vimeo machte den Vorfall in einem am Montag veröffentlichten Blogbeitrag öffentlich. Darin erklärte das Sicherheitsteam, ein unbefugter Akteur habe infolge der Anodot-Sicherheitsverletzung auf bestimmte Nutzer- und Kundendaten zugegriffen. Nach den ersten Erkenntnissen enthielten die betroffenen Datenbanken überwiegend technische Daten, Videotitel und Metadaten, in einigen Fällen auch Kunden-E-Mail-Adressen.

Nach Bekanntwerden des Vorfalls habe Vimeo umgehend sämtliche Anodot-Zugangsdaten deaktiviert, die Anbindung von Anodot an die eigenen Systeme entfernt und externe Sicherheitsexperten zur Untersuchung hinzugezogen. Zudem seien die Strafverfolgungsbehörden informiert worden. Videoinhalte, Nutzer-Logins und Zahlungskartendaten seien nicht abgeflossen, und der Betrieb der Dienste sei nicht beeinträchtigt worden. Anodot beantwortete Presseanfragen nicht.

Die Gruppe Shinyhunters setzte Vimeo am Dienstagmorgen auf ihre Leak-Seite und drohte mit der Veröffentlichung der Daten, falls bis Donnerstag kein Lösegeld gezahlt werde. Wie viele Daten entwendet wurden, gaben die Angreifer nicht an.

Seit Anfang 2026 hat die Gruppe mehrere aufsehenerregende Angriffe verübt, darunter Vorfälle beim Bildungsunternehmen McGraw Hill, beim Anbieter von Haussicherheitstechnik ADT sowie beim Videospielentwickler Rockstar Games. Den Datendiebstahl bei Rockstar Games führte Shinyhunters ausdrücklich auf die Sicherheitsverletzung bei Anodot zurück. Die Vorfälle stehen im Zusammenhang mit Berichten über eine umfassendere Kompromittierung der Lieferkette rund um Anodot, durch die sensible Daten mehrerer Kunden offengelegt worden sein könnten. Zuletzt erklärte die Gruppe, sie habe Authentifizierungs-Token des Dienstes erbeutet, mit denen sie auf die Cloud-Umgebungen von mehr als einem Dutzend Organisationen zugreifen konnte, ohne die Unternehmen direkt zu kompromittieren.

In ihrem Blogbeitrag verwies Vimeo auf einen im Januar erschienenen Bericht von Google Threat Intelligence, der die Vorgehensweise von Shinyhunters beschreibt. Die Gruppe nutzt demnach keine Schwachstellen in Produkten aus, sondern verschafft sich über Telefon- und E-Mail-Phishing Zugang zu Anmeldedaten.

Strafverfolgungsmaßnahmen gegen mehrere Mitglieder im Vorjahr haben die Gruppe nicht davon abgehalten, ihre Angriffsserie gegen große Unternehmen in den USA und Europa fortzusetzen. Im Januar erklärte die Gruppe, sie habe Match Group gehackt — den Betreiber von Dating-Plattformen wie Tinder, Hinge und OkCupid —, bevor sie ihre jüngste Angriffswelle startete.

Vimeo bestätigt Datenabfluss über Sicherheitsvorfall beim Dienstleister Anodot

Ähnliche Artikel

Neueste Artikel