ShinyHunters công bố dữ liệu: 119.000 email người dùng Vimeo bị lộ

ShinyHunters công bố dữ liệu: 119.000 email người dùng Vimeo bị lộ

Hơn 119.000 địa chỉ email của người dùng Vimeo đã bị lộ do một lỗ hổng bảo mật tại nhà cung cấp phân tích bên thứ ba. Vimeo khẳng định không có thông tin đăng nhập hay dữ liệu thẻ tín dụng bị đánh cắp, nhưng danh sách email này vẫn tạo ra rủi ro lừa đảo cao.

Chi tiết vụ việc

Theo dịch vụ theo dõi vi phạm dữ liệu Have I Been Pwned (HIBP), nhóm tội phạm mạng ShinyHunters là chủ thể đứng sau vụ việc này. Vụ việc lần đầu tiên bùng phát vào tháng 4 khi nhóm này đưa Vimeo vào danh sách "trả tiền hoặc rò rỉ" của họ, đe dọa sẽ công bố hàng trăm gigabyte dữ liệu nếu không đạt được thỏa thuận.

Hiện tại, dữ liệu đã bị công bố rộng rãi và HIBP xác nhận con số ảnh hưởng là 119.000 địa chỉ email duy nhất, trong một số trường hợp đi kèm với tên người dùng.

Vimeo chỉ trích nhà cung cấp Anodot

Vimeo đã xác nhận sự cố vào tuần trước nhưng không cung cấp con số cụ thể ngay lập tức. Công ty quy trách nhiệm cho Anodot, một nhà cung cấp dịch vụ phân tích bên thứ ba được sử dụng trong hệ thống của họ. Vimeo cho biết kẻ tấn công đã truy cập dữ liệu thông qua tích hợp này thay vì tấn công trực tiếp vào hệ thống nội bộ của Vimeo.

Mặc dù Anodot chưa có bình luận công khai, trang trạng thái của họ cho thấy sự cố bắt đầu từ ngày 4 tháng 4.

Dữ liệu bị ảnh hưởng

Theo Vimeo, các cơ sở dữ liệu bị đánh cắp chủ yếu chứa dữ liệu kỹ thuật, tiêu đề video, siêu dữ liệu và một số email khách hàng. Công ty đã nỗ lực làm rõ những gì không bị lộ trong vụ việc này:

• Không có nội dung video thực tế nào bị lấy đi.
• Không có thông tin đăng nhập hợp lệ (tên đăng nhập/mật khẩu).
• Không có thông tin thẻ thanh toán.

Tuy nhiên, điều này không đồng nghĩa với việc dữ liệu vô hại. Các danh sách email như vậy thường được mua bán, tái sử dụng và đưa vào các chiến dịch lừa đảo (phishing) trong nhiều năm, đặc biệt khi chúng đi kèm với đủ ngữ cảnh để khiến tin nhắn trông có vẻ đáng tin cậy.

Phản hồi của Vimeo

Các tin tặc tuyên bố vụ vi phạm còn sâu hơn nữa, cho rằng dữ liệu từ các phiên bản Snowflake và BigQuery đã bị xâm phạm nhờ vào Anodot. Tuy nhiên, Vimeo cho biết họ đã cắt đứt vấn đề từ nguồn bằng cách vô hiệu hóa thông tin đăng nhập của Anodot, gỡ bỏ tích hợp và thuê hỗ trợ bảo mật bên ngoài đồng thời thông báo cho cơ quan thực thi pháp luật.

Điều này nhấn mạnh một vấn đề quen thuộc trong an ninh mạng: bạn có thể khóa chặt hệ thống của mình, nhưng nhà cung cấp của bạn chỉ cần sai lầm một lần là đủ để gây ra hậu quả nghiêm trọng.