ShinyHunters Ronda o Trecho: Dados da Vimeo em Risco de Vazamento pelo Resgate Sequestrado

O grupo ShinyHunters informou ter acessado instâncias Snowflake e BigQuery da Vimeo através de uma vulnerabilidade na Anodot. A plataforma confirmou a ocorrência e assegurou que credenciais de login e dados de pagamento não foram vazados.

Os cibercriminosos do ShinyHunters afirmam ter comprometido as instâncias Snowflake e BigQuery da Vimeo, obtendo acesso a dados sensíveis. Em 28 de abril de 2026, publicaram um aviso de “alerta final” em seu site na dark web, exigindo pagamento para evitar o vazamento das informações.

De acordo com o grupo, a Anodot, uma empresa israelense especializada em análise de negócios utilizada pela Vimeo, foi a porta de entrada para o acesso. Em sua mensagem, os criminosos foram diretos: “Vimeo Inc., os dados de suas instâncias Snowflake e BigQuery foram comprometidos devido à Anodot.com. Pague ou nós vazamos.”

O que a Vimeo confirmou

A Vimeo divulgou um comunicado em seu blog oficial, confirmando o incidente. A empresa informou que um ator não autorizado acessou certos dados de usuários e clientes em razão da vulnerabilidade na Anodot. A Vimeo citou um relatório do Google Threat Intelligence relacionado ao responsável pelo ataque.

O site do grupo, ativo desde 2019, lista várias vítimas. Além da Vimeo, estão ADT (mais de 10 milhões de registros Salesforce), Udemy (1,4 milhão de registros), Marcus & Millichap (30 milhões de registros) e Zara, que também foi comprometida via BigQuery ligado à Anodot. Imagem: Cybernews

As investigações iniciais revelaram que os bancos de dados acessados continham principalmente dados técnicos, títulos de vídeos e metadados, além de e-mails dos clientes em algumas situações. A Vimeo assegurou que conteúdos de vídeo, credenciais de login válidas e informações de pagamento não foram acessados.

Como a empresa respondeu

Assim que tomou conhecimento do ocorrido, a Vimeo desativou todas as credenciais da Anodot, removendo a integração com seus sistemas. Além disso, contratou especialistas em segurança para investigar a situação e notificou as autoridades competentes.

“Essa investigação está em andamento e tomaremos as medidas necessárias conforme tivermos mais informações”, declarou a empresa.

O aviso do ShinyHunters estabelece 30 de abril de 2026 como prazo final para a Vimeo se pronunciar, sob ameaça de divulgar os dados junto com “vários problemas (digitais) irritantes”. A falta de opção de download, ao contrário de outras vítimas, sugere que as negociações ainda estão abertas. Imagem: Cybernews.

O risco por trás dos dados expostos

Embora o volume exato do vazamento não tenha sido confirmado, o potencial risco é elevado. O ShinyHunters pode ter obtido dados analíticos de usuários, informações de contas e dados operacionais, incluindo informações pessoais identificáveis.

Essas informações podem ser usadas para realizar novos ataques contra os clientes e usuários afetados.

O contexto mais amplo

O caso da Vimeo se insere em um contexto maior de vazamentos. Recentemente, o TecMania registrou um incidente semelhante envolvendo a Udemy, onde mais de 1,4 milhão de dados, incluindo informações pessoais, foram divulgados.

A Udemy aparentemente não quis negociar, resultando no vazamento. O TecMania tentou contato com a empresa, mas não obteve resposta.

O comunicado no site dos criminosos não detalha o volume ou tipo exato dos dados roubados e nem o valor do resgate solicitado. A gangue estipulou dois dias para a Vimeo responder, sinalizando que as negociações podem não estar progredindo.

Fique por dentro do que acontece seguindo o TecMania em suas redes sociais. Para mais notícias sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.