Have I Been Pwned confirmou a extensão parcial do incidente; ShinyHunters alega que o alcance real é maior do que a plataforma admitiu. Vimeo não pagou chantagem.
Um recente ciberataque à Vimeo, plataforma de hospedagem de vídeos, resultou na exposição de pelo menos 119 mil usuários. Essa confirmação foi feita pelo serviço Have I Been Pwned, que revelou que ao menos 119 mil endereços de e-mail únicos de usuários foram comprometidos. Em algumas situações, essas informações vieram acompanhadas de nomes completos.
Este número representa a primeira evidência concreta sobre o tamanho do vazamento desde que a Vimeo admitiu o problema no final de abril. O TecMania já tinha noticiado o caso quando o grupo de extorsão ShinyHunters adicionou a Vimeo à sua lista de alvos na dark web, ameaçando divulgar centenas de gigabytes de dados, caso a empresa não cedesse à chantagem. A Vimeo não fechou um acordo e os dados acabaram sendo divulgados.
Como ocorreu o vazamento
A invasão não partiu diretamente da Vimeo, mas sim da Anodot, uma empresa israelense de análise de dados usada pela plataforma como fornecedora de integração. Os atacantes acessaram os sistemas da Vimeo através desse canal.
O incidente teve início em 4 de abril, conforme indicado na página de status da Anodot, que não se pronunciou publicamente sobre o ocorrido. A Vimeo afirmou que os dados acessados incluíam informações técnicas, títulos de vídeos, metadados e alguns endereços de e-mail de clientes. A empresa garantiu que conteúdo de vídeo, credenciais de login válidas e dados de cartão de pagamento não foram comprometidos.
No entanto, listas de e-mail com esse nível de detalhe têm alto valor para grupos criminosos, pois possibilitam a criação de mensagens de phishing mais persuasivas, aumentando as chances de sucesso em ataques futuros.
ShinyHunters expande suas alegações
Os criminosos afirmam que o impacto real da invasão supera o que a Vimeo reconheceu. Em um comunicado, o ShinyHunters declarou ter comprometido instâncias Snowflake e BigQuery da plataforma via Anodot.
Snowflake e BigQuery são serviços de armazenamento e processamento de dados em nuvem, amplamente utilizados por empresas para centralizar grandes volumes de informações. Se essa afirmação for confirmada, a quantidade de dados expostos pode ser significativamente maior do que os números atuais indicam.
A Vimeo reagiu ao incidente desativando todas as credenciais da Anodot, cortando a integração com seus sistemas e contratando especialistas em segurança. A empresa também notificou as autoridades e planeja manter os usuários atualizados à medida que a investigação avança.
Um problema recorrente
Essa situação reflete um padrão comum no cenário de ameaças. Mesmo que uma empresa tenha seus próprios sistemas bem protegidos, ela pode sofrer um incidente grave devido a um fornecedor terceirizado que tenha acesso a dados sensíveis. Cada integração externa representa um ponto de entrada que precisa ser monitorado.
O serviço Have I Been Pwned incluiu os dados da Vimeo em sua base, permitindo que usuários verifiquem se foram afetados. Como precaução, recomenda-se que todos estejam atentos a e-mails não solicitados que utilizem informações pessoais para parecer legítimos.
Continue seguindo a TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal no YouTube.