Have I Been Pwned confirmou a extensão parcial do incidente; ShinyHunters alega que o alcance real é maior do que a plataforma admitiu. Vimeo não pagou chantagem.
Um novo ciberataque à Vimeo, reconhecida plataforma de compartilhamento de vídeos, resultou na exposição de pelo menos 119 mil usuários. A confirmação veio do serviço Have I Been Pwned, revelando o vazamento de um número significativo de endereços de e-mail únicos. Em alguns casos, os dados também incluíam nomes completos.
Esse número, que representa a primeira evidência concreta sobre a gravidade do vazamento desde que a Vimeo reconheceu o problema no final de abril, foi reportado anteriormente pelo TecMania. O grupo de extorsão ShinyHunters havia colocado a Vimeo em sua lista de alvos na dark web, ameaçando divulgar grandes volumes de dados caso a empresa não pagasse o valor do resgate. A Vimeo optou por não fechar acordo e os dados foram, de fato, divulgados.
Nossos vídeos em destaque
Como a violação ocorreu
A vulnerabilidade não se originou diretamente da Vimeo, mas da Anodot, uma empresa israelense de análise de dados – utilizada pela plataforma como serviço terceirizado. Os atacantes conseguiram acessar os sistemas da Vimeo através dessa conexão.
O ataque teve início em 4 de abril, conforme indicado na página de status da própria Anodot, que não fez declarações públicas sobre o incidente. A Vimeo confirmou que os bancos de dados acessados continham dados técnicos, títulos de vídeos, metadados e, em algumas situações, endereços de e-mail de usuários. A empresa reitera que conteúdo de vídeo, credenciais de login válidas e dados de cartão de pagamento não foram comprometidos.
Guia de Motéis sofre vazamento de dados e expõe usuários; empresa confirma ataque
Apesar disso, listas de e-mail que incluem esse tipo de informação têm grande valor para organizações criminosas, pois possibilitam a elaboração de mensagens de phishing mais persuasivas, aumentando as chances de sucesso em futuros ataques contra os afetados.
ShinyHunters expande as alegações
Os criminosos sustentam que o verdadeiro alcance da invasão ultrapassa o que a Vimeo reconheceu. Em um comunicado, o ShinyHunters declarou ter comprometido instâncias Snowflake e BigQuery da plataforma através da Anodot.
Snowflake e BigQuery são serviços de armazenamento e processamento de dados em nuvem frequentemente utilizados por empresas para centralizar grandes volumes de informações. Se esta alegação for confirmada, a quantidade de dados expostos pode ser consideravelmente maior do que as indicações atuais sugerem.
Em resposta ao incidente, a Vimeo desativou todas as credenciais da Anodot, cortou a integração com seus sistemas e contratou especialistas externos em segurança. A empresa também notificou as autoridades e se comprometeu a manter seus usuários informados à medida que a investigação avança.
Empresa brasileira teria sido usada em ataques DDoS contra provedores nacionais, diz site
Questão recorrente
Este incidente segue um padrão comum no cenário de cibersegurança. Uma empresa pode ter seus próprios sistemas robustamente protegidos e, ainda assim, sofrer um impacto significativo devido a um fornecedor externo que tem acesso a dados sensíveis. Em resumo, cada integração externa representa um ponto de entrada adicional que deve ser monitorado rigorosamente.
O serviço Have I Been Pwned, que permite a verificação se um endereço de e-mail foi exposto em vazamentos conhecidos, já incluiu os dados da Vimeo em seu banco de dados.
Usuários da plataforma podem consultar o site e verificar se foram impactados e, como precaução, é recomendável ficar atentos a e-mails não solicitados que utilizem informações pessoais para parecerem legítimos.
Siga a TecMania nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.