🗓️ Contexte

Source : SecurityWeek, article d’Eduard Kovacs publié le 28 avril 2026. Vimeo, plateforme d’hébergement vidéo, a officiellement confirmé une violation de données impliquant un prestataire tiers.

🎯 Nature de l’incident

Les attaquants ont accédé à des bases de données contenant données techniques, titres de vidéos, métadonnées et adresses email de certains clients. Le vecteur d’entrée identifié est la plateforme d’analytique Anodot, utilisée en intégration avec les systèmes Vimeo.

📊 Données compromises et non compromises

Données accédées :

  • Données techniques
  • Titres et métadonnées de vidéos
  • Adresses email de certains clients

Données NON compromises :

  • Contenu vidéo Vimeo
  • Identifiants de connexion valides
  • Informations de carte de paiement

🕵️ Acteur de la menace

Le groupe ShinyHunters a revendiqué l’attaque, affirmant avoir exfiltré des données depuis les instances Snowflake et BigQuery de Vimeo. Le groupe menace de publier les fichiers volés sauf paiement d’une rançon, avec une deadline fixée au 30 avril 2026.

Sur leur site, ShinyHunters liste trois organisations ciblées via Anodot :

  • Vimeo
  • Rockstar Games
  • Zara (groupe Inditex)

Le groupe est également connu pour cibler des instances Salesforce et d’autres services largement utilisés.

🔧 Réponse de Vimeo

  • Les credentials Anodot ont été désactivés et l’intégration supprimée
  • Les autorités judiciaires ont été notifiées
  • L’investigation est en cours
  • Surveillance renforcée de l’environnement

📰 Type d’article

Annonce d’incident — article de presse spécialisée rapportant la confirmation officielle d’une violation de données et les revendications du groupe cybercriminel ShinyHunters.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1199 — Trusted Relationship (Initial Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1657 — Financial Theft (Impact)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ securityweek.com — source reconnue (liste interne) (20pts)
  • ✅ 8222 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.securityweek.com/vimeo-confirms-user-and-customer-data-breach/