**Vimeo**, una plataforma de transmisión y alojamiento de video cotizada en bolsa con más de 300 millones de usuarios registrados, ha confirmado una brecha de datos derivada de un compromiso en **Anodot**. El incidente, divulgado el 27 de abril, implicó acceso no autorizado a datos de clientes y usuarios. ## Divulgación Inicial y Alcance **Vimeo** declaró inicialmente que las bases de datos accedidas contenían principalmente datos técnicos, títulos de videos, metadatos y, en algunos casos, direcciones de correo electrónico de clientes. Afirmaron que las credenciales de usuario y la información financiera permanecieron seguras y que no hubo interrupciones en sus sistemas o servicio. **Vimeo** deshabilitó rápidamente todas las credenciales de **Anodot** y eliminó la integración con sus sistemas. ## Filtración de ShinyHunters e Intento de Extorsión Tras la divulgación de **Vimeo**, el grupo de ciberdelincuencia **ShinyHunters** filtró un archivo de 106 GB de documentos robados en su sitio de filtración de datos en la dark web después de no lograr extorsionar a la empresa. El grupo afirmó que la brecha fue el resultado de instancias comprometidas de **Snowflake** y **BigQuery** debido a la vulnerabilidad de **Anodot**. "Sus datos de instancias de Snowflake y Bigquery fueron comprometidos gracias a Anodot.com", declaró la banda de extorsionadores. "La empresa no logró llegar a un acuerdo con nosotros a pesar de nuestra increíble paciencia, todas las oportunidades y ofertas que hicimos."  ## Impacto en los Usuarios Aunque **Vimeo** no ha revelado el número total de personas afectadas, **Have I Been Pwned** informa que la brecha expuso las direcciones de correo electrónico y, en algunos casos, los nombres de 119.200 personas. ## Actividades Más Amplias de ShinyHunters **ShinyHunters** ha sido vinculado a una campaña generalizada de vishing dirigida a las cuentas de **Microsoft Entra**, **Okta** y **Google** SSO de los empleados. Roban datos de aplicaciones SaaS conectadas, incluyendo **Salesforce**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk**, **Dropbox**, **Microsoft 365** y **Google Workspace**. Otras brechas recientes reclamadas por **ShinyHunters** incluyen la **Comisión Europea**, **Rockstar Games**, **McGraw Hill**, **Medtronic**, **Carnival**, **Zara**, **7-Eleven** y **Udemy**.  ## El 99% de lo que Mythos encontró sigue sin parchear. La IA encadenó cuatro zero-days en un exploit que eludió los sandboxes del renderizador y del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)