Vimeo attaquée par la vague d’attaques liée à Anodot Vimeo a été victime d'une intrusion associée à Anodot, exposant métadonnées et emails d’utilisateurs sans toucher au contenu vidéo.
Vimeo est à son tour touchée par la vague d’attaques liée à Anodot, et les premiers éléments laissent penser que des données sensibles d’utilisateurs ont été compromises sans impacter le contenu vidéo. Selon l’entreprise, les informations techniques, les titres des vidéos et les métadonnées ont été exposés, et dans certains cas, les adresses emails des utilisateurs ont été touchées. Les données dérobées n’incluent pas les vidéos elles-mêmes, ni les identifiants de connexion ou les données bancaires.
« Cet incident n’a entraîné aucune perturbation de nos systèmes ni de notre service », affirme Vimeo.
Vimeo précise qu’elle a désactivé immédiatement les identifiants liés à Anodot, supprimé l’intégration du service d’analyses et fait appel à des experts en sécurité pour aider dans l’enquête. Les forces de l’ordre ont été notifiées. L’enquête est en cours et le volume exact des données volées reste inconnu. La plateforme revendique 287 millions d’utilisateurs et des menaces de publication des données par les pirates, qui agissent sous le nom de ShinyHunters, une bande habituée à viser des éditeurs de logiciels dans le cloud et à réclamer des rançons.
Le mode opératoire repose sur l’ingénierie sociale plutôt que sur une faille technique visible: les attaquants se font passer pour le support informatique, gagnent la confiance des employés et les renvoient vers un faux portail interne, afin de récupérer les identifiants et d’accéder aux bases de données.
Le 4 avril, Anodot signalait une panne touchant plusieurs collecteurs de données, notamment Snowflake, S3 et Amazon Kinesis. Les attaquants, identifiés ensuite comme faisant partie de ShinyHunters, ont volé des jetons d’authentification pour accéder aux données des clients connectés. Le 11 avril, les premières demandes de rançon ont été publiées, dont une référence à Rockstar, le studio derrière GTA.
Ce que cela change pour la sécurité des données
- Exposition possible : métadonnées et emails dans certains cas, sans accès au contenu vidéo.
- Impact opérationnel : pas de perturbation immédiate des services selon Vimeo.
- Leçons de sécurité : l’ingénierie sociale demeure un vecteur clé et le recours à des tokens d’authentification peut être une porte d’entrée.
Pour terminer
Cette affaire montre que les chaînes de données dans le cloud restent vulnérables lorsque les vecteurs humains ne sont pas suffisamment sécurisés. L’enquête se poursuit et les détails exacts sur l’étendue des données volées n’ont pas été rendus publics.
