Кибергрупата свързва атаката с компрометирани токени от Anodot

Киберпрестъпната група ShinyHunters публикува откраднати данни след пробив във видео платформата Vimeo, като според услугата Have I Been Pwned са били засегнати над 119 000 души.

Vimeo, която е публично търгувана компания и обслужва стотици милиони потребители по света, съобщи в края на април, че е установен неоторизиран достъп до клиентски и потребителски данни вследствие на инцидент, свързан с платформата за анализ на данни Anodot.

Какви данни са компрометирани

По информация на Vimeo първоначалното разследване показва, че атакуващите са получили достъп основно до техническа информация, заглавия на видеа, метаданни и в някои случаи имейл адреси на потребители.

Компанията подчертава, че не са компрометирани пароли, платежна информация или самото видео съдържание в платформата. Според Vimeo инцидентът не е довел до прекъсване на услугите или до пробив в системите за удостоверяване на потребители.

След откриването на атаката компанията е деактивирала всички идентификационни данни, свързани с Anodot, прекъснала е интеграцията със системите си и е ангажирала външни експерти по киберсигурност.

ShinyHunters публикува 106 GB архив

След като според групата не е било постигнато споразумение за откуп, ShinyHunters е публикувала 106 GB архив с предполагаемо откраднати документи в своя сайт в дарк уеб.

Хакерите твърдят, че достъпът е бил осъществен чрез компрометирани токени и инстанции, свързани с Anodot, като същевременно заявяват, че са опитвали да достигнат и до Salesforce среди на други компании.

Според Have I Been Pwned в изтеклите данни се съдържат имейл адреси и в някои случаи имена на 119 200 потребители.

ShinyHunters разширява атаките срещу SaaS платформи

Групата ShinyHunters е свързвана с множество високопрофилни пробиви през последните години, както и с мащабни vishing кампании срещу корпоративни акаунти в Microsoft Entra, Okta и Google SSO.

След компрометиране на корпоративни акаунти атакуващите често се насочват към свързани SaaS услуги като Salesforce, Slack, SAP, Microsoft 365, Google Workspace, Dropbox, Zendesk и други облачни платформи.

Сред последните организации, за които групата твърди, че е компрометирала данни, са Европейската комисия, Rockstar Games, Udemy, Zara, Carnival, Medtronic и 7-Eleven.

Растящ риск за облачните интеграции

Случаят подчертава все по-сериозния риск около компрометирани API токени, външни интеграции и SaaS екосистеми. Дори когато основната инфраструктура на дадена компания не е директно пробита, атакуващите могат да използват доверени връзки и външни доставчици като входна точка.

Това превръща управлението на идентичности, достъпа и интеграциите в една от най-критичните зони за защита в съвременната облачна среда.