ShinyHunters erbeutet bei Vimeo persönliche Daten von 119.000 Menschen

Zusammenfassung

Über die Videoplattform Vimeo sind persönliche Daten von mehr als 119.000 Menschen abgeflossen. Verantwortlich ist nach Angaben des Benachrichtigungsdienstes Have I Been Pwned die Erpressergruppe ShinyHunters, die sich nicht direkt bei Vimeo, sondern bei dem auf Anomalieerkennung spezialisierten Datendienstleister Anodot Zugang verschaffte. Vimeo machte den Vorfall am 27. April öffentlich und erklärte, dass im Zuge eines Einbruchs bei Anodot unbefugt auf Kunden- und Nutzerdaten zugegriffen worden sei. Vimeo ist eine an der Nasdaq notierte Video-Hosting- und Streaming-Plattform mit über 300 Millionen registrierten Nutzern, mehr als 1.100 Beschäftigten und einem ausgewiesenen Umsatz von 417 Millionen US-Dollar für das Geschäftsjahr 2024. Nach ersten Erkenntnissen des Unternehmens enthielten die betroffenen Datenbanken vor allem technische Daten, Videotitel und Metadaten sowie in einigen Fällen E-Mail-Adressen von Kunden. Login-Daten oder Finanzinformationen seien den Angreifern nach Darstellung von Vimeo nicht in die Hände gefallen, und es habe keine Störung der Dienste gegeben.

Vimeo zufolge wurde der Zugriff über Anodot ermöglicht. Nachdem das Unternehmen den Vorfall bemerkt hatte, deaktivierte es nach eigenen Angaben sämtliche Anodot-Zugangsdaten, entfernte die Anodot-Integration aus seinen Systemen und kappte so den Zugang der Angreifer. Zusätzlich zog Vimeo externe Sicherheitsexperten für die Untersuchung hinzu und informierte die Strafverfolgungsbehörden.

In seiner Mitteilung betonte das Unternehmen, dass weder Videoinhalte noch gültige Login-Daten oder Kreditkarteninformationen betroffen seien. Die Zugangsdaten von Nutzern und Kunden seien sicher, und der Vorfall habe weder Systeme noch Dienste beeinträchtigt.

Nach der Veröffentlichung durch Vimeo stellte ShinyHunters ein 106 GB großes Archiv mit gestohlenen Dokumenten auf seiner Leak-Seite im Darknet online – nachdem der Erpressungsversuch gegen das Unternehmen gescheitert war. In einer Botschaft erklärte die Gruppe, die Daten aus den Snowflake- und BigQuery-Instanzen seien über Anodot kompromittiert worden; das Unternehmen habe sich trotz wiederholter Angebote nicht auf eine Einigung eingelassen.

Wie viele Personen insgesamt betroffen sind, hat Vimeo bislang nicht mitgeteilt. Have I Been Pwned wertete die gestohlenen Daten aus und nennt 119.200 Personen, deren E-Mail-Adressen und teilweise auch Namen offengelegt wurden.

Gegenüber BleepingComputer hatte die Gruppe zuvor angegeben, mithilfe von Anodot-Authentifizierungstoken Daten von Dutzenden Unternehmen gestohlen zu haben. ShinyHunters bestätigte zudem den Versuch, Daten aus Salesforce-Instanzen abzugreifen, sei dabei aber durch eine KI-gestützte Erkennung blockiert worden.

Die Gruppe wird darüber hinaus mit einer breit angelegten Vishing-Kampagne in Verbindung gebracht, die auf die Single-Sign-on-Konten von Beschäftigten und Mitarbeitern von Business-Process-Outsourcing-Dienstleistern bei Microsoft Entra, Okta und Google zielt. Nach der Übernahme solcher Konten greifen die Täter Daten aus angebundenen SaaS-Anwendungen ab, darunter Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365 und Google Workspace.

Zu den weiteren Vorfällen, die ShinyHunters in jüngster Zeit für sich reklamiert, zählen Angriffe auf die Europäische Kommission, Rockstar Games, den Bildungsanbieter McGraw Hill sowie zuletzt den Medizintechnikhersteller Medtronic, den Kreuzfahrtbetreiber Carnival, den Modehändler Zara, die Handelskette 7-Eleven und die Online-Lernplattform Udemy.

ShinyHunters erbeutet bei Vimeo persönliche Daten von 119.000 Menschen

Ähnliche Artikel

Neueste Artikel