Lỗ hổng tại nhà cung cấp thứ ba khiến hơn 119.000 email người dùng Vimeo bị lộ

Theo dữ liệu từ trang Have I Been Pwned (HIBP), hơn 119.000 địa chỉ email của người dùng Vimeo đã bị tuồn ra mạng trong một vụ vi phạm dữ liệu được truy xuất từ một nhà cung cấp dịch vụ phân tích bên thứ ba.

Vụ việc lần đầu tiên xuất hiện vào tháng 4 khi nhóm hacker ShinyHunters đưa Vimeo vào danh sách các mục tiêu "trả tiền hoặc bị rò rỉ". Nhóm này tuyên bố đã lấy được hàng trăm gigabyte dữ liệu và đe dọa sẽ công bố toàn bộ nếu không đạt được thỏa thuận.

Kể từ đó, dữ liệu đã bị công bố và dịch vụ thông báo vi phạm dữ liệu HIBP đã xác nhận quy mô của phần thiệt hại: 119.000 địa chỉ email duy nhất, trong một số trường hợp đi kèm với tên người dùng.

Nguyên nhân từ chuỗi cung ứng

Vimeo tuần trước đã xác nhận dữ liệu bị lấy cắp nhưng không tiết lộ con số chính xác người ảnh hưởng. Công ty quy trách nhiệm cho Anodot, một nhà cung cấp dịch vụ phân tích dữ liệu bên thứ ba được sử dụng trong hệ thống của họ. Vimeo cho biết kẻ tấn công đã truy cập thông qua tích hợp này thay vì tấn công trực tiếp vào hệ thống của Vimeo.

Anodot chưa có bình luận công khai, nhưng trang trạng thái của họ cho thấy sự cố bắt đầu vào ngày 4 tháng 4.

Theo Vimeo, các cơ sở dữ liệu bị đánh cắp chủ yếu chứa dữ liệu kỹ thuật, tiêu đề video, siêu dữ liệu và một số email khách hàng. Công ty đã nhấn mạnh những gì không bị lộ: không có nội dung video thực tế, không có thông tin đăng nhập hợp lệ và không có thông tin thẻ thanh toán.

Rủi ro từ việc lộ email

Tuy nhiên, điều này không đồng nghĩa với việc dữ liệu vô hại. Các danh sách email như thế này thường được tái sử dụng, bán lại và đưa vào các chiến dịch lừa đảo (phishing) trong nhiều năm, đặc biệt là khi chúng đi kèm với đủ ngữ cảnh để khiến tin nhắn trông có vẻ đáng tin cậy.

Các kẻ tấn công tuyên bố vụ vi phạm còn sâu hơn. Trong một bài đăng được The Register nhìn thấy, ShinyHunters cáo buộc rằng "dữ liệu các phiên bản Snowflake và BigQuery đã bị xâm phạm nhờ Anodot.com", đồng thời thêm rằng công ty "thất bại trong việc đạt được thỏa thuận" mặc dù đã nhiều lần cố gắng đàm phán.

Vimeo cho biết họ đã cắt đứt vấn đề từ nguồn, vô hiệu hóa thông tin xác thực của Anodot, gỡ bỏ tích hợp và thuê trợ giúp bảo mật bên ngoài trong khi thông báo cho cơ quan thực thi pháp luật. Cuộc điều tra vẫn đang diễn ra và công ty hứa hẹn sẽ cập nhật cho khách hàng khi có thêm thông tin.

Hiện tại, con số từ Have I Been Pwned dường như đã lấp đầy khoảng trống thông tin từ thông báo ban đầu của Vimeo, và nhấn mạnh một vấn đề quen thuộc: bạn có thể khóa chặt hệ thống của mình, nhưng nhà cung cấp của bạn chỉ cần sai lầm một lần là đủ.