O recente ciberataque ao Vimeo, plataforma de hospedagem de vídeos, resultou na exposição de ao menos 119 mil usuários. A confirmação foi divulgada pelo Have I Been Pwned, serviço de notificação de vazamentos, que citou o vazamento de ao menos 119 mil endereços de e-mail únicos de usuários. Em alguns casos, os dados estão acompanhados de nomes completos.
O número é o primeiro dado concreto sobre a dimensão do vazamento desde que a Vimeo confirmou o caso no fim de abril. O TecMundo já havia reportado o caso quando o grupo de extorsão ShinyHunters adicionou a Vimeo à sua lista de vítimas na dark web, ameaçando publicar centenas de gigabytes de dados caso a plataforma não pagasse o resgate exigido. A Vimeo não fechou acordo e os dados foram publicados.
Como a brecha aconteceu
A porta de entrada não foi a Vimeo em si, mas a Anodot, uma empresa israelense de análise de dados – usada pela plataforma como integração terceirizada. Os atacantes acessaram os sistemas da Vimeo por meio dessa conexão.
O incidente teve início em 4 de abril, conforme registrado na página de status da própria Anodot, que não fez declarações públicas sobre o caso. A Vimeo confirmou que os bancos de dados acessados continham dados técnicos, títulos de vídeos, metadados e, em alguns casos, endereços de e-mail de clientes. A empresa foi enfática ao dizer que conteúdo de vídeo, credenciais de login válidas e dados de cartão de pagamento não estavam entre os itens comprometidos.
Ainda assim, listas de e-mail com esse nível de contexto têm alto valor para grupos criminosos, isso porque permitem montar mensagens de phishing mais convincentes, aumentando as chances de sucesso em ataques futuros contra os afetados.
ShinyHunters faz afirmações mais amplas
Os criminosos alegam que o alcance real da invasão vai além do que a Vimeo reconheceu. Em comunicado, o ShinyHunters afirma ter comprometido instâncias Snowflake e BigQuery da plataforma via Anodot.
Snowflake e BigQuery são serviços de armazenamento e processamento de dados em nuvem amplamente usados por empresas para centralizar grandes volumes de informação. Se a afirmação for confirmada, o volume de dados expostos pode ser bem maior do que os números atuais sugerem.
A Vimeo respondeu ao incidente desativando todas as credenciais da Anodot, removendo a integração com seus sistemas e contratando especialistas externos em segurança. A empresa também notificou as autoridades e disse que vai atualizar os usuários à medida que a investigação avançar.
O problema não é novo
O caso segue um padrão recorrente no cenário de ameaças. Uma empresa pode ter seus próprios sistemas bem protegidos e ainda assim sofrer um incidente grave por causa de um fornecedor terceirizado com acesso a dados sensíveis. Basicamente, cada integração externa representa um ponto de entrada adicional que também precisa ser monitorado.
O Have I Been Pwned, serviço gratuito que permite verificar se um endereço de e-mail foi exposto em algum vazamento conhecido, incluiu os dados da Vimeo em sua base.
Usuários da plataforma podem consultar o site para saber se foram afetados e, como medida de precaução, ficar atentos a e-mails não solicitados que usem informações pessoais para parecer legítimos.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.