视频服务 Vimeo 确认 Anodot 泄露事件导致用户数据暴露

HackerNews 编译，转载请注明出处：

Vimeo 近日披露，在数据分析异常检测公司 Anodot 近期遭遇泄露事件后，部分 Vimeo 客户和用户的数据被未经授权访问。

该视频平台表示，威胁行为者获取了部分客户的电子邮件地址，但大部分暴露的信息包括技术数据、视频标题和元数据。

Vimeo 在声明中指出：“我们已确认，由于 Anodot 泄露事件，未经授权的演员访问了某些 Vimeo 用户和客户数据。我们的初步调查结果表明，被访问的数据库主要包含技术数据、视频标题和元数据，在某些情况下还包括客户电子邮件地址。”

此次 Vimeo 泄露事件由臭名昭著的勒索组织 ShinyHunters 宣称负责。该组织威胁称，如果 Vimeo 不在 4 月 30 日前支付赎金，他们将公开窃取的数据。

Vimeo 是一个视频托管和流媒体平台，是 YouTube 最大的替代方案之一，拥有超过 3 亿注册用户，可上传、托管和分享高质量视频。

该公司员工超过 1,100 人，年收入达 4.17 亿美元，并在纳斯达克股票市场公开上市。

昨天，ShinyHunters 在其勒索门户网站上列出了 Vimeo，声称掌握了该公司 Snowflake 和 BigQuery 实例中的数据。

除了威胁泄露数据外，攻击者还向公司发出警告，称该平台应预期会出现“几个令人讨厌的数字问题”。

Anodot 事件涉及攻击者窃取身份验证令牌，并利用这些令牌访问客户环境（主要是 Snowflake），从多个组织中窃取数据。

该活动与 ShinyHunters 勒索组织有关联，该组织目前正试图通过勒索和威胁泄露来自不同下游受害者的窃取数据来牟利。

受害者之一是游戏开发工作室 Rockstar Games，ShinyHunters 声称窃取了超过 7860 万条记录。

然而在 Vimeo 的案例中，影响尚不明确，因为攻击者并未说明窃取数据的具体数量。

Vimeo 明确指出，暴露的数据不包括用户上传的视频内容、账户凭据或支付卡信息。此外，平台的运营未受影响。

目前，该公司已禁用所有 Anodot 凭据，并从其系统中移除了该服务的集成。

Vimeo 正在第三方安全专家的帮助下调查此事件，并已向执法部门报案。

公司承诺，如果调查发现了有关此事件的重要新信息，将提供进一步更新。