**Vimeo**, une plateforme d'hébergement et de streaming vidéo cotée en bourse avec plus de 300 millions d'utilisateurs enregistrés, a confirmé une violation de données résultant d'un compromis chez **Anodot**. L'incident, divulgué le 27 avril, a impliqué un accès non autorisé aux données des clients et des utilisateurs. ## Divulgation initiale et portée **Vimeo** a initialement déclaré que les bases de données accessibles contenaient principalement des données techniques, des titres de vidéos, des métadonnées et, dans certains cas, des adresses e-mail de clients. Ils ont affirmé que les identifiants des utilisateurs et les informations financières restaient sécurisés et qu'il n'y avait eu aucune perturbation de leurs systèmes ou de leur service. **Vimeo** a rapidement désactivé tous les identifiants **Anodot** et supprimé l'intégration avec ses systèmes. ## Fuite de ShinyHunters et tentative d'extorsion Suite à la divulgation de **Vimeo**, le groupe de cybercriminalité **ShinyHunters** a divulgué une archive de 106 Go de documents volés sur son site de fuite de données du dark web après avoir échoué à faire chanter l'entreprise. Le groupe a affirmé que la violation était le résultat de compromis des instances **Snowflake** et **BigQuery** en raison de la vulnérabilité **Anodot**. "Vos données des instances Snowflake et Bigquery ont été compromises grâce à Anodot.com", a déclaré le gang d'extorsion. "L'entreprise n'a pas réussi à parvenir à un accord avec nous malgré notre incroyable patience, toutes les chances et les offres que nous avons faites."  ## Impact sur les utilisateurs Bien que **Vimeo** n'ait pas divulgué le nombre total de personnes affectées, **Have I Been Pwned** rapporte que la violation a exposé les adresses e-mail et, dans certains cas, les noms de 119 200 personnes. ## Activités plus larges de ShinyHunters **ShinyHunters** a été lié à une campagne de vishing généralisée ciblant les comptes **Microsoft Entra**, **Okta** et **Google** SSO des employés. Ils volent des données d'applications SaaS connectées, notamment **Salesforce**, **SAP**, **Slack**, **Adobe**, **Atlassian**, **Zendesk**, **Dropbox**, **Microsoft 365** et **Google Workspace**. D'autres violations récentes revendiquées par **ShinyHunters** incluent la **Commission européenne**, **Rockstar Games**, **McGraw Hill**, **Medtronic**, **Carnival**, **Zara**, **7-Eleven** et **Udemy**.  ## 99% de ce que Mythos a trouvé est toujours non corrigé. L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits arrive. Au Autonomous Validation Summit (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent et boucle la remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)