Vimeoは、データ異常検出企業Anodotへの最近の侵害に続いて、顧客およびユーザーのデータが無許可でアクセスされたことを開示しました。
ビデオプラットフォームは、脅迫行為者が一部の顧客のメールアドレスにアクセスしたと述べていますが、露出した情報の大部分は技術データ、ビデオタイトル、メタデータを含んでいました。
「Anodot侵害の結果として、無許可の行為者が特定のVimeoユーザーおよび顧客データにアクセスしたことを確認しました。初期調査では、アクセスされたデータベースは主に技術データ、ビデオタイトル、メタデータ、および場合によっては顧客メールアドレスを含むことが示唆されています」とVimeoは述べています。
Vimeo侵害は悪名高い恐喝グループShinyHuntersが主張し、同社が身代金を支払わなければ4月30日までに盗まれたデータを公開すると脅迫しました。
Vimeoはビデオホスティングおよびストリーミングプラットフォームで、YouTubeの最大の代替サービスの1つであり、3億人以上の登録ユーザーが高品質のビデオをアップロード、ホスト、共有できます。
同社は1,100人以上を雇用し、年間売上高は4億1,700万ドルで、NASDAQの株式市場で上場しています。
昨日、ShinyHuntersは同社のSnowflakeおよびBigQueryインスタンスからのデータを持っていると主張して、Vimeoを彼らの恐喝ポータルにリストアップしました。
データをリークすると脅す以外に、行為者は企業に警告を発し、プラットフォームは「いくつかの厄介なデジタルの問題」を期待すべきだと述べました。
Anodot事件は、攻撃者が認証トークンを盗み、それを使用して顧客環境(主にSnowflake)にアクセスし、複数の組織からデータを流出させることを伴っていました。
この活動は恐喝グループShinyHuntersに関連付けられており、現在は恐喝と様々な下流の被害者から盗まれたデータをリークすると脅すことを通じて侵害を金銭化しようとしています。
これらの被害者の1つはゲーム開発スタジオRockstar Gamesで、ShinyHuntersは7,860万以上のレコードを流出させたと主張しています。
しかし、Vimeoの場合、行為者は盗まれたデータの量を述べなかったため、影響は不明のままです。
Vimeoは、露出したデータにはユーザーがプラットフォームにアップロードしたビデオコンテンツ、アカウント認証情報、または支払いカード情報が含まれていないことを指定しました。また、プラットフォームの操作は影響を受けませんでした。
同社は現在、すべてのAnodot認証情報を無効にし、サービスとのシステム統合を削除しました。
Vimeoは現在、第三者のセキュリティ専門家の支援を受けて事件を調査しており、法執行機関にも通知しています。
同社は、調査が事件に関する重要な新情報を発見した場合、更新を提供することを約束しました。
Mythosが発見した内容の99%はまだ修正されていません。
AIは4つのゼロデイを1つのエクスプロイトにチェーン化し、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日&14日)では、自動的で文脈豊かな検証が悪用可能なものを見つけ、制御が機能することを証明し、修復ループを閉じる方法を見てください。
