Vimeoは、ユーザーデータベースに影響を与えるデータ漏洩を正式に確認しました。セキュリティ侵害はVimeoに由来するのではなく、動画ホスティングプラットフォームが使用する第三者分析ベンダーのAnodotに由来するものです。
このイベントは、ソフトウェアサプライチェーンに関連する継続的なリスクを浮き彫りにしており、1つのベンダーの脆弱性が複数の下流企業を危険にさらす可能性があります。Vimeoは、権限のないアクターがAnodot漏洩を悪用して特定の顧客データベースにアクセスしたと報告しました。
権限のないアクセスにもかかわらず、Vimeoはそのコアシステムとサービスが中断を経験していないと述べました。同社は脅威を封じ込め、ユーザーアカウントを保護するために迅速に対応しています。
露出したセキュアなデータ
漏洩により特定の情報セットが露出しましたが、最も機密性の高いユーザーデータは安全なままです。調査官はまだ全体的な範囲を分析中ですが、初期の調査結果は影響の明確な全体像を提供しています。
- ハッカーは技術データ、動画タイトル、動画メタデータ、および複数の顧客メールアドレスにアクセスしました。
- Vimeoは、インシデント中に実際の動画コンテンツが危険にさらされなかったことを確認しました。
- ユーザーのログイン認証情報とパスワードは完全に安全なままです。
- 攻撃者は支払いカード情報と財務詳細にアクセスしませんでした。
セキュリティ研究者はこの漏洩をよく知られた脅威アクターに関連付けています。最近のGoogle脅威インテリジェンスレポートによると、Anodotインシデントの責任を主張するグループはサイバー犯罪分野で非常に活動的です。このレポートは、このデータ盗難をSoftware-as-a-Service(SaaS)プラットフォームを標的とした広範なキャンペーンに関連付けています。
脅威グループは、広くShinyHuntersとして識別されており、企業データを盗むために第三者ベンダーを危険にさらすことを専門としています。
彼らは通常、これらの盗まれたデータベースを使用して犠牲者を恐喝するか、情報をアンダーグラウンドハッキングフォーラムで販売しています。Anodotのような共有分析ベンダーを標的にすることで、攻撃者は複数の組織からのデータに同時に効率的にアクセスしました。
権限のないアクセスを発見すると、Vimeoはインシデント対応計画を開始しました。同社は攻撃者のアクセスを切断し、さらなるデータ損失を防ぐための即座の対策を講じました。
- Vimeoはネットワーク全体のすべてのAnodot認証情報を迅速にオフにしました。
- セキュリティチームはVimeoシステムからAnodot統合を完全に削除しました。
- 同社は徹底的なフォレンジック調査を主導するために第三者サイバーセキュリティ専門家を雇用しました。
- Vimeoは漏洩について法執行機関に正式に通知しました。
調査は引き続き活動中であり、Vimeoは新しい情報が明らかになるにつれてアップデートを提供することを約束しています。顧客メールアドレスが露出したため、Vimeoユーザーは標的型フィッシングキャンペーンに注意を払う必要があります。
サイバー犯罪者はしばしば盗まれたメールリストを使用して説得力のある偽のメッセージを送信し、ユーザーをセキュアなパスワードを提供させるようだまそうとしたり、支払い詳細を提供させるよう試みます。ユーザーは現時点でパスワードを変更する必要はありませんが、疑わしいメールに対して警戒を保つことが強くお勧めされています。
翻訳元: https://gbhackers.com/vimeo-confirms-data-breach/
