Vimeo: Datenleck durch Sicherheitslücke bei Dienstleister

Hacker erbeuteten sensible Daten über einen kompromittierten Drittanbieter – und fordern nun Lösegeld.

Die Erpressergruppe ShinyHunters behauptet, erfolgreich Daten aus Vimeos Cloud-Speichern gestohlen zu haben. Das Unternehmen bestätigte den Vorfall, der auf eine Sicherheitslücke beim Analyse-Dienstleister Anodot zurückgeht. Der Fall zeigt einmal mehr: Angreifer zielen zunehmend auf die Schwachstellen in der Lieferkette digitaler Dienste ab.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Gratis Cyber-Security-Report jetzt herunterladen

Angriffspunkt: Analyse-Plattform als Einfallstor

Der Einbruch gelang über Anodot, eine israelische firma für Geschäftsanalysen. Vimeo nutzte deren Plattform zur Auswertung von Nutzungsdaten. Die Angreifer nutzten eine Sicherheitslücke bei Anodot aus, um sich Zugang zu Vimeos Datenbanken zu verschaffen.

Betroffen waren die Cloud-Datenbanken Snowflake und Google BigQuery. Dort speichert Vimeo umfangreiche Betriebs- und Geschäftsdaten. Das Unternehmen betont jedoch: Die Kernsysteme und die eigentliche Video-Infrastruktur blieben unangetastet. Es gab keine Ausfälle, und interne Authentifizierungsmechanismen wurden nicht umgangen.

Die Sicherheitsteams von Vimeo reagierten umgehend: Sie deaktivierten sämtliche Zugangsdaten, die mit Anodot verbunden waren. Damit wurde die Verbindung zu den Angreifern gekappt und ein weiterer Datenabfluss verhindert.

Erpresser-Ultimatum: „Zahlen oder veröffentlichen“

Auf ihrem Erpressungsportal im Darknet stellte die Gruppe ShinyHunters ein 48-Stunden-Ultimatum. Die Frist endet am 30. April. Die genaue Lösegeldforderung ist nicht bekannt, doch die Hacker drohen damit, die gestohlenen Daten zu veröffentlichen, falls Vimeo nicht zahlt.

Welche Daten genau abgeflossen sind? Nach Angaben von Vimeo handelt es sich um technische Informationen, Videotitel, Metadaten und eine Teilmenge von Kunden-E-Mail-Adressen. Wichtig für die Nutzer: Keine Passwörter, keine Zahlungsdaten und keine eigentlichen Videoinhalte wurden gestohlen.

Die Taktik von ShinyHunters ist bekannt: Die Gruppe hat bereits mehrfach SaaS-Plattformen und Cloud-Dienste ins Visier genommen. Typischerweise nutzen sie falsch konfigurierte Cloud-Instanzen oder stehlen Authentifizierungstoken von Drittanbietern.

Lieferketten-Effekt: Mehrere Unternehmen betroffen

Vimeo ist nicht der einzige Leidtragende. Auch Rockstar Games und der Modekonzern Inditex (Zara) sollen Opfer derselben Kampagne geworden sein. Die Angreifer nutzten kompromittierte Authentifizierungstoken von Anodot, um sich als legitime Dienste auszugeben und auf Cloud-Datenbanken zuzugreifen.

Dieser Vorfall unterstreicht einen besorgniserregenden Trend: Cyberkriminelle konzentrieren sich auf die Abhängigkeiten zwischen digitalen Unternehmen. Ein einziger kompromittierter Analyse-Dienst kann den Zugang zu den Daten Dutzender Kunden ermöglichen. Sicherheitsforscher warnen seit Langem vor solchen „Pivot-Angriffen“, die mit der zunehmenden Cloud-Nutzung immer häufiger werden.

Der Vorfall trifft Vimeo in einer Übergangsphase: Der italienische Technologiekonzern Bending Spoons hatte die Plattform Ende 2025 für rund 1,38 Milliarden Euro übernommen. Seitdem gab es umfangreiche Umstrukturierungen und Entlassungen. Der Sicherheitsvorfall ist die erste große Bewährungsprobe für das neue Management.

Analyse: Warum Cloud-Datenbanken im Fokus stehen

Die Angriffe auf Snowflake und BigQuery zeigen eine strategische Verschiebung: Kriminelle zielen nicht mehr auf die stark gesicherten Frontends von Websites, sondern auf die Backend-Datenbanken, in denen Geschäftsdaten gebündelt werden. Die Schwachstelle liegt in den Schnittstellen, über die Daten zwischen Unternehmen und ihren Dienstleistern fließen.

Cloud-Experten betonen: Cloud-Datenbanken sind nur so sicher wie die Zugangsdaten, die sie schützen. Wenn ein Drittanbieter wie Anodot kompromittiert wird, können dessen Anmeldedaten gegen die Kunden eingesetzt werden. Die Lehre für Unternehmen: Strenge Zugriffskontrollen und regelmäßiger Austausch von API-Schlüsseln sind unerlässlich.

Die Beteiligung von ShinyHunters deutet auf eine hochprofessionelle Organisation hin. Die Gruppe setzt auf Erpressung statt auf klassische Ransomware. Durch die Androhung der Veröffentlichung von Metadaten und E-Mail-Adressen wollen sie Reputationsschäden und rechtliche Konsequenzen nach der DSGVO oder dem kalifornischen Datenschutzgesetz erzwingen.

Haftet Ihr Unternehmen persönlich für Datenschutzverstöße Ihrer Dienstleister? Dieser kostenlose Report klärt über Haftungsrisiken bei der Auftragsverarbeitung auf und bietet fertige Vorlagen für eine rechtssichere Umsetzung. Gratis E-Book zur Auftragsdatenverarbeitung sichern

Ausblick: Was Nutzer jetzt beachten sollten

Die Frist der Erpresser läuft am 30. April ab. Vimeo arbeitet mit externen Sicherheitsexperten zusammen, um das volle Ausmaß des Datenabflusses zu klären. Das Unternehmen wird weitere Updates bereitstellen, sobald die forensische Untersuchung abgeschlossen ist. Derzeit empfiehlt Vimeo keinen universellen Passwort-Reset, da keine Login-Daten gestohlen wurden.

Sicherheitsexperten raten Vimeo-Nutzern jedoch zur Vorsicht vor Phishing-Versuchen. Da E-Mail-Adressen möglicherweise abgegriffen wurden, könnten gezielte Spam- oder Betrugs-E-Mails zunehmen, die angeblich von Vimeo stammen. Die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) und die regelmäßige Überprüfung des Kontos auf ungewöhnliche Aktivitäten bleiben die wichtigsten Schutzmaßnahmen.

Die langfristigen Folgen für Vimeos Geschäftsbeziehungen zu Unternehmenskunden sind noch unklar. Angesichts der wachsenden Bedeutung des Third-Party-Risikomanagements könnte die Plattform Fragen zu ihren Sicherheitsstandards erhalten. Für die gesamte Branche ist der Vorfall eine eindringliche Mahnung: Die „digitale Verklebung“ zwischen SaaS-Anwendungen muss besser geschützt werden.

de | boerse | 69252240 |