3億人以上の登録ユーザーを持つ、公開取引されている動画ホスティングおよびストリーミングプラットフォームである**Vimeo**は、**Anodot**での侵害に起因するデータ侵害を確認しました。4月27日に開示されたこのインシデントでは、顧客およびユーザーデータへの不正アクセスが含まれていました。 ## 初期開示と範囲 **Vimeo**は当初、アクセスされたデータベースには主に技術データ、動画タイトル、メタデータ、そして場合によっては顧客のメールアドレスが含まれていたと述べていました。ユーザーの認証情報や財務情報は安全に保たれており、システムやサービスへの影響はなかったと主張しました。**Vimeo**は直ちにすべての**Anodot**認証情報を無効にし、システムとの連携を解除しました。 ## ShinyHuntersの流出と恐喝未遂 **Vimeo**の開示後、**ShinyHunters**サイバー犯罪グループは、同社からの恐喝に失敗した後、ダークウェブのデータ流出サイトで盗まれた文書の106GBアーカイブを流出させました。同グループは、**Anodot**の脆弱性により**Snowflake**と**BigQuery**インスタンスが侵害されたことが原因だと主張しました。 「Anodot.comのおかげで、あなたのSnowflakeとBigqueryインスタンスのデータが侵害されました」と恐喝ギャングは述べました。「当社が多大な忍耐、あらゆる機会、そして提示したオファーにもかかわらず、同社は私たちとの合意に達しませんでした。」  ## ユーザーへの影響 **Vimeo**は影響を受けた個人数の総数を明らかにしていませんが、**Have I Been Pwned**によると、この侵害により119,200人のメールアドレス、場合によっては氏名が漏洩しました。 ## ShinyHuntersの広範な活動 **ShinyHunters**は、従業員の**Microsoft Entra**、**Okta**、**Google** SSOアカウントを標的とした広範なビッシングキャンペーンに関連付けられています。彼らは、**Salesforce**、**SAP**、**Slack**、**Adobe**、**Atlassian**、**Zendesk**、**Dropbox**、**Microsoft 365**、**Google Workspace**などの接続されたSaaSアプリケーションからデータを盗んでいます。 **ShinyHunters**が主張するその他の最近の侵害には、**欧州委員会**、**Rockstar Games**、**McGraw Hill**、**Medtronic**、**Carnival**、**Zara**、**7-Eleven**、**Udemy**などがあります。  ## Mythosが発見したものの99%はまだパッチが適用されていません。 AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が押し寄せます。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、管理が機能していることを証明し、修正ループを閉じるかをご覧ください。 [席を確保する](https://hubs.li/Q04crVgD0)