No s’han filtrat credencials ni dades de targetes. El grup de programari de segrest ShinyHunters ha reivindicat l’autoria de l’atac.

Vimeo, el servei de vídeo en línia dirigit a professionals, ha patit una bretxa de dades que hauria afectat nombrosos usuaris i clients de la plataforma. 

L’empresa ho ha admès mitjançant un comunicat on indica que l’incident de seguretat realment s’hauria produït a Anodot, un proveïdor extern d’anàlisi. 

La seva investigació inicial ha determinat que les bases de dades a què van accedir els ciberdelinqüents contenien principalment dades tècniques, títols i metadades de vídeos i, en alguns casos, adreces de correu electrònic de clients. 

Asseguren que els actors d’amenaces no haurien aconseguit continguts de vídeo, credencials d’inici de sessió d’usuari vàlides ni informació de targetes de pagament. 

A més, des de Vimeo insisteixen que «les credencials d’accés dels usuaris i clients de Vimeo són segures» i que l’incident no ha causat cap interrupció en els sistemes ni en el servei. 

«Després d’assabentar-nos de l’incident, vam desactivar immediatament totes les credencials d’Anodot, vam eliminar la integració d’Anodot amb els sistemes de Vimeo i vam contractar experts en seguretat externs perquè ens ajudessin en la investigació. Així mateix, ho hem notificat a les autoritats policials», assenyalen.

La investigació continua i des de la firma s’han compromès a «prendre les mesures pertinents» a mesura que obtinguin més informació. 

Ara com ara, l’empresa audiovisual no ha donat informació sobre el nombre d’usuaris i clients que s’haurien vist esquitxats per aquest accés no autoritzat. 

Caçadors de bretxes

La banda de ciberdelinqüents ShinyHunters s’ha apuntat el gol del ciberatac i han afegit Vimeo a la seva pàgina de filtracions. El grup assegura haver obtingut dades de les instàncies de Snowflake i BigQuery de l’empresa. 

A més, van amenaçar de filtrar les dades robades si no es pagava un rescat, i donaven a la víctima fins al dijous 30 d’abril per respondre. La quantia, per ara, no s’ha fet pública. 

Més enllà de Vimeo, el col·lectiu ha enumerat dues organitzacions més que haurien estat blancs d’Anodot: l’empresa de videojocs Rockstar Games i el gegant de la moda Zara. 

ShinyHunters va néixer el 2019 i s’ha especialitzat en el robatori massiu de dades i l’extorsió econòmica, allunyant-se en gran manera del programari de segrest tradicional basat en el xifratge. El seu model consisteix a infiltrar-se en sistemes corporatius -principalment a través d’enginyeria social, robatori de credencials i atacs a serveis al núvol com a plataformes SaaS- per extreure grans volums d’informació delicada i posteriorment exigir un rescat sota l’amenaça de filtrar-la o vendre-la al web fosc. 

Les seves campanyes han afectat gegants tecnològics, companyies de retail, firmes de luxe, entitats financeres i organismes públics, amb víctimes com Salesforce, Snowflake, LVMH o SoundCloud, a més de filtracions massives recents que han impactat desenes de companyies en una sola operació. 

En el cas d’Espanya, la seva activitat ha tingut un impacte directe rellevant, especialment amb el robatori de dades a Banco Santander i l’afectació a Zara dins de campanyes globals.