**Vimeo**, eine börsennotierte Video-Hosting- und Streaming-Plattform mit über 300 Millionen registrierten Nutzern, hat einen Datendiebstahl bestätigt, der auf eine Kompromittierung bei **Anodot** zurückzuführen ist. Der Vorfall, der am 27. April bekannt gegeben wurde, beinhaltete unbefugten Zugriff auf Kunden- und Nutzerdaten. ## Erste Bekanntgabe und Umfang **Vimeo** gab zunächst an, dass die zugegriffenen Datenbanken hauptsächlich technische Daten, Videotitel, Metadaten und in einigen Fällen Kunden-E-Mail-Adressen enthielten. Das Unternehmen behauptete, dass Benutzeranmeldeinformationen und Finanzinformationen sicher blieben und es keine Störungen seiner Systeme oder Dienste gab. **Vimeo** deaktivierte umgehend alle **Anodot**-Anmeldeinformationen und entfernte die Integration mit seinen Systemen. ## ShinyHunters Leak und Erpressungsversuch Nach der Bekanntgabe durch **Vimeo** hat die **ShinyHunters**-Cybercrime-Gruppe ein 106 GB großes Archiv gestohlener Dokumente auf ihrer Dark-Web-Datenleckseite veröffentlicht, nachdem sie das Unternehmen nicht erpressen konnte. Die Gruppe behauptete, der Einbruch sei das Ergebnis kompromittierter **Snowflake**- und **BigQuery**-Instanzen aufgrund der **Anodot**-Schwachstelle. "Ihre Snowflake- und BigQuery-Instanzdaten wurden dank Anodot.com kompromittiert", erklärte die Erpressergang. "Das Unternehmen konnte trotz unserer unglaublichen Geduld, all der Chancen und Angebote, die wir gemacht haben, keine Einigung mit uns erzielen."  ## Auswirkungen auf Nutzer Obwohl **Vimeo** die Gesamtzahl der betroffenen Personen nicht bekannt gegeben hat, berichtet **Have I Been Pwned**, dass der Vorfall die E-Mail-Adressen und in einigen Fällen die Namen von 119.200 Personen offengelegt hat. ## Breitere Aktivitäten von ShinyHunters **ShinyHunters** wurde mit einer weit verbreiteten Vishing-Kampagne in Verbindung gebracht, die sich gegen die **Microsoft Entra**, **Okta** und **Google** SSO-Konten von Mitarbeitern richtete. Sie stehlen Daten aus verbundenen SaaS-Anwendungen, darunter **Salesforce**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk**, **Dropbox**, **Microsoft 365** und **Google Workspace**. Weitere kürzlich von **ShinyHunters** beanspruchte Einbrüche sind die **Europäische Kommission**, **Rockstar Games**, **McGraw Hill**, **Medtronic**, **Carnival**, **Zara**, **7-Eleven** und **Udemy**.  ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI hat vier 0-days zu einem einzigen exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung exploitable Elemente findet, die Wirksamkeit von Kontrollen beweist und den Remediation-Loop schließt. [Claim Your Spot](https://hubs.li/Q04crVgD0)