Data breach Vimeo: 119.200 email esposte via Anodot

Data breach Vimeo: 119.200 email esposte via Anodot

Nel maggio 2026 è emerso che il gruppo ShinyHunters ha violato i sistemi di Vimeo nell’aprile 2026 sfruttando l’integrazione con la piattaforma di anomaly detection Anodot, esponendo gli indirizzi email e, in alcuni casi, i nomi di circa 119.200 persone. L’archivio di circa 106 GB è stato pubblicato su un sito dark web dopo il mancato pagamento del riscatto, costringendo la piattaforma a disabilitare definitivamente il connettore. Il caso rivela che le integrazioni B2B di analytics possono diventare il percorso d’attacco principale per infrastrutture cloud mature, spostando il perimetro di sicurezza oltre i sistemi core.

Come Anodot è diventato il vettore d'accesso ai warehouse Vimeo

L’intrusione si è materializzata non attraverso un frontale assalto ai server primari, ma sfruttando il canale dati che collega Vimeo ad Anodot, una società specializzata nel rilevamento automatico delle anomalie.

ShinyHunters ha rivendicato esplicitamente di aver compromesso le istanze Snowflake e BigQuery della piattaforma video «grazie ad Anodot.com», secondo il messaggio di estorsione visionato da BleepingComputer.

Vimeo ha confermato che l’accesso non autorizzato è avvenuto proprio attraverso quella connessione, annunciando la disattivazione immediata dell’integrazione e la revoca di tutte le credenziali ad essa legate.

Questo tipo di vettore conferma una tendenza osservata negli ultimi mesi: gli attaccanti si spostano dai sistemi core verso le interconnessioni meno sorvegliate, dove la visibilità security è spesso più bassa.

Rimane però sconosciuto il meccanismo tecnico preciso della compromissione: non è chiaro se il problema risieda in token esposti, permessi eccessivi o in una vulnerabilità nel software di Anodot.

Cosa contiene l’archivio di circa 106 GB pubblicato da ShinyHunters

Dopo aver fallito l’estorsione, il gruppo ha caricato online un archivio la cui dimensione è stata quantificata in circa 106 GB.

L’analisi indipendente condotta da Have I Been Pwned ha confermato la presenza di circa 119.200 indirizzi email, in alcuni casi affiancati dai nomi degli utenti.

Vimeo ha precisato che i database toccati contengono principalmente metadati tecnici e titoli dei video, senza tuttavia includere credenziali di autenticazione attive, contenuti multimediali o informazioni finanziarie.

La dimensione di circa 106 GB suggerisce che il dump possa includere anche tabelle di log e dati di telemetria, tipici di una piattaforma di anomaly detection che richiede accesso massiccio a flussi informativi strutturati.

La natura del leak è quindi ibrida: da un lato dati personali identificativi, dall’altro informazioni di configurazione e catalogazione dei contenuti hostati sulla piattaforma.

Perché Vimeo esclude password, video e dati di pagamento

Nella sua comunicazione ufficiale, Vimeo ha tracciato una linea netta intorno a ciò che non è stato compromesso.

Vimeo ha chiarito che i dati toccati non comprendono contenuti video, credenziali di autenticazione valide né dati di pagamento, assicurando che le password degli utenti restano protette.

Questa distinzione è rilevante perché riduce l’impatto immediato per gli utenti finali: senza password esfiltrate, il rischio di account takeover diretto si abbassa sensibilmente.

Tuttavia, l’esposizione di circa 119.200 indirizzi email espone comunque le vittime a campagne di phishing mirate e a tentativi di credential stuffing su altri servizi.

La mancanza di credenziali compromesse non esime tuttavia gli utenti dalla necessità di cambiare password se la stessa email è riutilizzata su servizi terzi, dato che l’indirizzo email è la chiave primaria per molte campagne di credential stuffing.

“Your Snowflake and Bigquery instances data was compromised thanks to Anodot.com” — ShinyHunters

Cosa fare adesso: audit delle credenziali e verifica dell’esposizione

Chiunque abbia un account Vimeo dovrebbe controllare immediatamente su Have I Been Pwned se il proprio indirizzo email risulta nel dump, attivando ovunque possibile l’autenticazione a due fattori anche in assenza di password compromesse.

I team di sicurezza delle aziende che usano Vimeo o piattaforme simili devono ruotare senza indugio le chiavi API e i token condivisi con vendor di analytics e anomaly detection.

È altrettanto urgente mappare tutte le connessioni SaaS B2B verso i data warehouse interni, restringendo i permessi ai soli dataset strettamente necessari e attivando il monitoraggio delle query anomale.

Infine, gli amministratori dovrebbero includere nei contratti con i fornitori terzi la clausola di trasparenza sui permessi concessi, verificando che nessuna integrazione esterna possa raggiungere i database di produzione se non essenziale.

Il reale ampliamento della superficie di attacco oltre i sistemi core

L’incidente dimostra che le piattaforme cloud mature non vengono più forzate necessariamente frontalmente, ma attraverso la «porta di servizio» lasciata socchiusa verso partner e sottofornitori SaaS.

Questa evoluzione pone i vendor di analytics, billing e monitoring nello stesso piano di rischio dei fornitori di infrastruttura critica, con implicazioni ancora poco regolate nei programmi di third-party risk management.

L’integrazione con Anodot era funzionale al monitoraggio dei dati, tuttavia ha creato un ponte tra l’ecosistema esterno e i warehouse Snowflake e BigQuery di Vimeo.

Quando una società di anomaly detection diventa essa stessa l’anomalia del perimetro, la sicurezza tradizionale basata sulla protezione del network interno mostra i propri limiti.

La governance delle integrazioni B2B diventa quindi pari alla hardening dei server proprietari, perché ogni connettore è un potenziale corridoio di esfiltrazione.

Vimeo non è stata violata attraverso un errore di codice interno o un attacco di ingegneria sociale diretto, ma attraverso una porta di servizio aperta verso un fornitore di analytics. Questo sposta il dibattito dalla robustezza del singolo applicativo alla governance dell’intero ecosistema SaaS, dove ogni integrazione B2B aggiunge un nodo che può essere forzato senza toccare il sistema centrale. Per le aziende, il messaggio è che il perimetro di sicurezza finisce dove finisce la catena di fiducia dei vendor connessi.

Domande frequenti

Snowflake e BigQuery sono stati violati direttamente o tramite Anodot?

Secondo la rivendicazione di ShinyHunters, le istanze Snowflake e BigQuery di Vimeo sono state compromesse proprio «grazie ad Anodot.com», indicando un accesso indiretto attraverso l’integrazione con la piattaforma di anomaly detection piuttosto che un attacco frontale ai warehouse.

È emersa una vulnerabilità specifica in Anodot che abbia reso possibile l’attacco?

Non è noto alcun dettaglio tecnico che confermi una vulnerabilità zero-day o un CVE specifico nel software di Anodot. Il meccanismo esatto della compromissione — che si tratti di credenziali esposte, permessi eccessivi o di un bug — rimane non determinato.

Perché ShinyHunters ha pubblicato l’archivio di circa 106 GB?

Il gruppo ha tentato un’operazione di estorsione che non ha ottenuto il pagamento del riscatto. Di conseguenza, ha reso pubblico il dump sul proprio sito dark web, come già avvenuto in altre operazioni dello stesso attore.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.bleepingcomputer.com/news/security/vimeo-data-breach-exposes-personal-information-of-119-000-people/
• https://haveibeenpwned.com/Breach/Vimeo
• https://www.bleepingcomputer.com/