HackerangriffeDatenschutzCyberkriminalität

Vimeo-Datenpanne: 119.000 Nutzer betroffen – ShinyHunters-Gang erbeutet Daten

Von CyberDeutsch Redaktion
Vimeo-Datenpanne: 119.000 Nutzer betroffen – ShinyHunters-Gang erbeutet Daten
Zusammenfassung

Die Videoplattform Vimeo ist Opfer eines Datenlecks geworden, das über 119.000 Nutzer betrifft. Die Cyberkriminellen-Gruppe ShinyHunters verschaffte sich im April Zugang zu persönlichen Daten durch einen Hack des Sicherheitsunternehmens Anodot, das Vimeo zur Anomalieerkennung nutzte. Obwohl Vimeo versichert, dass keine Passwörter, Zahlungsinformationen oder Videoinhalte gestohlen wurden, veröffentlichte ShinyHunters schließlich 106 Gigabyte gestohlener Daten im Dark Web, nachdem Erpressungsversuche scheiterten. Die exponierte Information umfasst hauptsächlich E-Mail-Adressen, Namen und Videometadaten. Besonders besorgniserregend ist die Tatsache, dass ShinyHunters in letzter Zeit zahlreiche hochkarätige Unternehmen gehackt hat – darunter Rockstar Games, die Europäische Kommission und Medtronic – und dabei Zugangsdaten für populäre Business-Tools wie Salesforce, Slack und Microsoft 365 missbrauchte. Für deutsche Nutzer und Unternehmen, die Vimeo oder ähnliche Cloud-Services nutzen, unterstreicht dieser Vorfall die kritische Notwendigkeit, die Sicherheit von Drittanbieter-Integrationen zu überprüfen und Multi-Faktor-Authentifizierung zu implementieren.

Die Vimeo-Datenpanne offenbart ein Sicherheitsproblem, das über die Plattform selbst hinausgeht. Der Angriff erfolgte nicht durch eine direkte Kompromittierung von Vimeos Infrastruktur, sondern durch Anodot – ein Unternehmen, das spezialisiert auf Anomalieerkennung in Datenbeständen ist. Vimeo vertraute diesem Dienst, um ungewöhnliche Aktivitäten in seinen Systemen zu erkennen. Stattdessen verschaffte diese Abhängigkeit der ShinyHunters-Gang Zugriff auf sensible Datenbanken.

Nach Angaben des Have-I-Been-Pwned-Dienstes waren insgesamt 119.200 Personen von der Datenpanne betroffen. Die Cyberkriminellen gelangten zu E-Mail-Adressen, Video-Titeln und Metadaten. Vimeo beteuert, dass echte Anmeldedaten und Kreditkartendaten sicher blieben – ein wichtiger Punkt, doch der Diebstahl von E-Mail-Adressen öffnet Türen für gezielte Phishing-Angriffe.

Die ShinyHunters-Gruppe versuchte zunächst, Vimeo zu erpressen. Als dies scheiterte, veröffentlichten sie 106 GB an Daten im Darknet und behaupteten dabei, dass auch Daten aus Snowflake- und BigQuery-Instanzen kompromittiert wurden – Cloud-Services, die viele Unternehmen für Analytics nutzen.

Das ist jedoch nur ein Fall in einer wachsenden Serie von Angriffen durch ShinyHunters. Die Gruppe nutzt eine raffinierteste Methode: Sie infiltrieren Corporate-SSO-Systeme (Single Sign-On) wie Microsoft Entra, Okta und Google über Vishing-Kampagnen und verschaffen sich Zugriff auf verbundene SaaS-Anwendungen – Salesforce, SAP, Slack, Adobe und viele mehr. In den vergangenen Wochen hat ShinyHunters auch die Europäische Kommission, Rockstar Games, McGraw Hill, Medtronic, Carnival, Zara, 7-Eleven und Udemy angegriffen.

Für deutsche Unternehmen und Behörden, die auf Vimeo und ähnliche Cloud-Services setzen, unterstreicht dieser Vorfall die Notwendigkeit strikter Lieferkettenüberwachung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt regelmäßige Sicherheitsaudits bei allen genutzten Drittanbietern. Zudem müssen Unternehmen nach DSGVO-Vorgaben betroffene Nutzer informieren – Vimeo drohen im schlimmsten Fall Bußgelder von bis zu 4 Prozent des jährlichen Umsatzes. Die Verantwortung liegt hier klar bei der Plattform, all ihre Lieferanten und Integrationen zu sichern.

Ähnliche Artikel