動画ホスティングプラットフォームのVimeoは、最近のデータ侵害中に第三者の分析ベンダーからユーザーおよび顧客データが盗まれたと述べています。
Vimeoのスポークスマンは、サイバー犯罪グループによるデータ侵害の最近の主張が、人気のあるビジネス分析企業Anodotでのセキュリティインシデントに関連していることを確認しました。
月曜日に公開されたブログ投稿で、同社は最近のAnodotへの攻撃をShinyHuntersおよび関連するサイバー犯罪勢力による長期にわたる一連の攻撃に結びつけました。Anodotはコメント要求に応じていません。
「Anodot侵害の結果として、不正アクターがVimeoの特定のユーザーおよび顧客データにアクセスしたことが判明しました。初期調査では、アクセスされたデータベースは主に技術データ、ビデオタイトルおよびメタデータを含んでおり、場合によってはお客様のメールアドレスも含まれていることが示唆されています」とVimeoのセキュリティチームは述べています。
「インシデントについて知ったところ、すべてのAnodot認証情報を直ちに無効化し、VimeoシステムとのAnodot統合を削除し、調査を支援するため第三者のセキュリティ専門家を起用しました。また、法執行機関にも通知しました。」
ハッカーはビデオコンテンツ、ユーザーログイン、または支払いカード情報にはアクセスしなかったと声明に述べられています。Vimeoのサービスに支障は生じていません。攻撃への調査は進行中であると彼らは述べています。
Shinyhuntersは火曜日の朝にVimeoを自分たちのリークサイトに追加し、木曜日までに身代金が支払われない場合、データリークで同社を脅迫しました。サイバー犯罪者はどれだけのデータが盗まれたかは明かしていません。
このグループは2026年初頭以来、教育企業McGraw Hill、ホームセキュリティ企業ADT、ビデオゲーム開発企業Rockstar Gamesを含む最近のインシデントを含む、複数の高名な攻撃を実行しています。
Shinyhuntersはロックスター・ゲームズからの盗難を特にAnodotの侵害のせいにしました。これらのインシデントは、複数の顧客に属する機密データが公開された可能性のあるAnodotを含む、より広範なサプライチェーン侵害のレポートに続いています。
ShinyHuntersは最近、サービスに属する認証トークンを取得したと主張しており、これにより企業を直接侵害することなく、12以上の組織によって使用されるクラウド環境にアクセスすることができました。
ブログ投稿でVimeoは、Shinyhuntersによって使用される戦術を説明するGoogle Threat Intelligenceの1月のレポートにリンクしました。このグループは製品の脆弱性を悪用しておらず、代わりにログインデータへのアクセスを提供する音声およびメールフィッシングスキームを実施しています。
昨年複数のメンバーに対して講じられた法執行措置は、このグループが米国とヨーロッパの大企業に対する一連の攻撃を継続することをほとんど止めていません。1月に、このギャングはTinder、Hinge、OkCupidを含むデート・プラットフォームのオペレーターであるMatch Groupをハックしたと述べ、その最新の攻撃キャンペーンを開始しました。
翻訳元: https://therecord.media/vimeo-blames-security-incident-on-anodot-breach
