Vimeo confirma que una brecha en Anodot, su proveedor de detección de anomalías, expuso datos de algunos clientes y usuarios, principalmente direcciones de correo, títulos de vídeos y metadatos técnicos. El grupo de extorsión ShinyHunters robó tokens de autenticación de Anodot para acceder a entornos Snowflake y BigQuery de múltiples clientes, incluyendo Vimeo, y amenaza con filtrar la información si no pagan rescate.
La filtración no afecta al contenido de los vídeos subidos, credenciales de cuentas ni datos de tarjetas de pago, y las operaciones de Vimeo se mantienen normales. La compañía ha desactivado todas las credenciales de Anodot, eliminado su integración y trabaja para mitigar cualquier riesgo adicional.
ShinyHunters ha listado Vimeo en su portal de extorsión, junto a otras víctimas como Rockstar Games, y advierte de “problemas digitales molestos” si no responden. El caso destaca los peligros de las cadenas de suministro en la nube: un solo proveedor comprometido puede exponer a docenas de empresas de forma simultánea.
Fountain: Bleeping Computer