Vimeo xác nhận bị lộ dữ liệu người dùng sau vụ tấn công qua bên thứ ba
Nền tảng chia sẻ video Vimeo thừa nhận tin tặc đã đánh cắp dữ liệu khách hàng thông qua việc khai thác lỗ hổng tại nhà cung cấp dịch vụ phân tích Anodot. Nhóm hacker ShinyHunters đang đe dọa công bố dữ liệu nếu Vimeo không trả tiền chuộc trước ngày 30/4.
Nền tảng lưu trữ video phổ biến Vimeo đã xác nhận rằng tin tặc đã đánh cắp dữ liệu người dùng và khách hàng sau một cuộc tấn công nhắm vào một nhà cung cấp bên thứ ba.
Vimeo
Theo thông tin từ Vimeo, những kẻ tấn công đã truy cập được vào các cơ sở dữ liệu chứa dữ liệu kỹ thuật, tiêu đề video, siêu dữ liệu (metadata) và địa chỉ email của một số khách hàng.
Dữ liệu nào bị ảnh hưởng?
Vimeo khẳng định rằng dữ liệu bị truy cập không bao gồm nội dung video thực tế được lưu trữ trên nền tảng, thông tin đăng nhập hợp lệ của người dùng, hay thông tin thẻ thanh toán.
"Dữ liệu bị truy cập không bao gồm nội dung video Vimeo, thông tin đăng nhập người dùng hợp lệ hoặc thông tin thẻ thanh toán," công ty cho biết. "Thông tin đăng nhập của người dùng và khách hàng Vimeo vẫn an toàn. Sự cố này không gây ra gián đoạn nào đối với hệ thống hoặc dịch vụ của chúng tôi."
Vimeo ShinyHunters hack
Lỗ hổng từ nhà cung cấp bên thứ ba
Vimeo cho biết những kẻ tấn công đã nhắm vào nền tảng phân tích Anodot. Ngay sau khi phát hiện sự việc, Vimeo đã vô hiệu hóa thông tin xác thực (credentials) của Anodot và loại bỏ tích hợp giữa hệ thống của hai bên.
Hiện tại, cuộc điều tra vẫn đang được tiến hành và các cơ quan thực thi pháp luật đã được thông báo.
"Chúng tôi đã thực hiện các bước để bảo mật môi trường của mình và tiếp tục giám sát chặt chẽ tình hình," một phát ngôn viên của Vimeo chia sẻ với SecurityWeek.
Đe dọa từ nhóm ShinyHunters
Nhóm tội phạm mạng ShinyHunters đã nhận trách nhiệm cho vụ tấn công Vimeo, tuyên bố rằng chúng đã lấy được dữ liệu từ các phiên bản Snowflake và BigQuery của công ty. Nhóm này đang đe dọa sẽ rò rỉ các tệp dữ liệu bị đánh cắp trừ khi Vimeo đồng ý trả tiền chuộc. Công ty được giao thời hạn đến ngày 30/4 để phản hồi.
Ed Kovacs
ShinyHunters gần đây đã tích cực nhắm vào các phiên bản Salesforce và các dịch vụ được sử dụng rộng rãi khác của các tổ chức. Tại thời điểm viết bài này, trang web của ShinyHunters liệt kê ba tổ chức bị cáo buộc là nạn nhân thông qua Anodot: Vimeo, Rockstar Games và gã khổng lồ bán lẻ thời trang Zara.
Vụ việc này một lần nữa nhấn mạnh rủi ro từ các cuộc tấn công chuỗi cung ứng, nơi hacker lợi dụng các đối tác bên thứ ba có quyền truy cập hạn chế để xâm nhập vào hệ thống chính của các doanh nghiệp lớn.
