El servicio de videos Vimeo confirmó una brecha de datos que afectó a 119 mil usuarios tras un incidente de seguridad en su proveedor externo Anodot. La exposición incluyó información personal, aunque la compañía aseguró que no se comprometieron contraseñas ni datos de pago.
La plataforma de videos Vimeo informó recientemente que una brecha de seguridad vinculada a su proveedor externo Anodot derivó en la exposición de datos personales de aproximadamente 119 mil usuarios. El incidente se originó en los sistemas de la empresa de detección de anomalías de datos Anodot, un tercero que prestaba servicios a Vimeo, lo que permitió el acceso no autorizado a cierta información de clientes.
En un comunicado compartido en el blog de la empresa el pasado 27 de abril, se explica que el acceso se produjo a través de Anodot. “Hemos detectado que, como consecuencia de la brecha de seguridad de Anodot, un atacante no autorizado accedió a ciertos datos de usuarios y clientes de Vimeo”, indicó la empresa, confirmando que el problema se originó en un proveedor externo. Este punto fue reiterado en distintos reportes, que coinciden en que la intrusión no implicó un fallo directo en la infraestructura de Vimeo.
De acuerdo con los hallazgos iniciales de la empresa, los actores de amenaza accedieron principalmente a “datos técnicos, títulos y metadatos de vídeos y, en algunos casos, direcciones de correo electrónico de clientes”, y descartaron enfáticamente el acceso a “credenciales de inicio de sesión de usuario válidas ni información de tarjetas de pago.” La empresa indicó que las credenciales de acceso de usuarios y clientes eran seguras.
Sin embargo, diversos reportes señalan que los datos robados aparecieron publicados en foros asociados al grupo cibercriminal de extorsión ShinyHunters, conocido por difundir bases de datos obtenidas en brechas, aunque la información publicada se limita a los registros extraídos a partir del acceso inicial al proveedor externo.
El servicio de notificación de filtraciones de datos Have I Been Pwned analizó los datos robados e informó que la filtración expuso las direcciones de correo electrónico y (en algunos casos) los nombres de unas 119 mil 200 personas.
ShinyHunters habría declarado al medio Bleeping Computer que el robo también incluye “datos de decenas de empresas utilizando tokens de autenticación de Anodot”. Además, los atacantes habrían intentado robar datos de instancias de Salesforce, pero sus esfuerzos de vieron frustrados por un sistema de detección basado en inteligencia artificial.
Tras la detección del incidente, Vimeo inició una serie de acciones de respuesta. La empresa indicó que “desactivamos de inmediato todas las credenciales de Anodot, eliminamos la integración de Anodot con los sistemas de Vimeo y contratamos a expertos en seguridad externos para que nos ayudaran en la investigación”. De igual manera, Vimedo notificó a las autoridades policiales correspondientes sobre el incidente.