Platform hosting dan streaming video populer, Vimeo, telah mengungkapkan bahwa sebagian data milik pelanggan dan penggunanya telah diakses tanpa otorisasi. Insiden ini terjadi sebagai imbas langsung dari pelanggaran keamanan besar yang baru-baru ini melanda penyedia layanan pihak ketiga mereka, yakni perusahaan deteksi anomali data Anodot.
Vimeo yang merupakan salah satu alternatif terbesar untuk YouTube—melayani lebih dari 300 juta pengguna terdaftar dengan pendapatan tahunan menembus $417 juta—menyatakan bahwa aktor ancaman berhasil menyusup dan mengakses alamat email beberapa pelanggannya. Namun, sebagian besar informasi yang terekspos meliputi data teknis, judul video, dan metadata.
“Kami telah mengidentifikasi bahwa, sebagai akibat dari pelanggaran Anodot, aktor tak berwenang mengakses data pengguna dan pelanggan Vimeo tertentu. Temuan awal kami menunjukkan bahwa basis data yang diakses utamanya berisi data teknis, judul video dan metadata, serta, dalam beberapa kasus, alamat email pelanggan,” urai pernyataan resmi Vimeo.
Ancaman Pemerasan dari ShinyHunters
Pembobolan data Vimeo ini diklaim oleh kelompok pemerasan siber yang sudah tak asing lagi, ShinyHunters. Mereka mengancam akan memublikasikan data curian tersebut ke publik paling lambat tanggal 30 April 2026 jika perusahaan menolak membayar uang tebusan.
Kemarin, ShinyHunters secara resmi mencantumkan nama Vimeo di portal pemerasan mereka. Grup peretas ini mengklaim telah mengantongi data dari instans Snowflake dan BigQuery milik perusahaan. Selain mengancam akan membocorkan data, aktor ancaman tersebut juga melontarkan peringatan keras bahwa platform video itu harus bersiap menghadapi “beberapa masalah digital yang mengganggu.”
Dampak Rantai Pasokan dan Langkah Mitigasi
Insiden keamanan Anodot sendiri merupakan serangan rantai pasokan berskala luas. Dalam serangan itu, peretas mencuri token autentikasi dan menyalahgunakannya untuk mengakses berbagai lingkungan pelanggan, terutama Snowflake, lalu mengeksfiltrasi data dari banyak organisasi sekaligus. Aktivitas ini secara konsisten dikaitkan dengan ShinyHunters, yang kini sibuk memonetisasi pembobolan tersebut dengan memeras korban-korban di hilir.
Selain Vimeo, studio pengembang game Rockstar Games juga menjadi salah satu korban, di mana ShinyHunters mengklaim telah menyedot lebih dari 78,6 juta catatan data mereka. Namun untuk kasus Vimeo, jumlah pasti data yang dicuri masih belum jelas karena pelaku tidak merinci ukurannya.
Meski demikian, Vimeo memberikan penegasan penting mengenai data yang aman. Perusahaan mengonfirmasi bahwa data yang terekspos tidak mencakup hal-hal berikut:
- Konten video yang diunggah pengguna ke platform.
- Kredensial akun (kata sandi).
- Informasi kartu pembayaran atau data finansial.
Secara operasional, platform Vimeo tetap berjalan normal dan tidak terdampak. Sebagai langkah mitigasi darurat, perusahaan telah menonaktifkan semua kredensial Anodot dan mencabut integrasi layanan tersebut dari seluruh sistem mereka.
Saat ini, Vimeo sedang menyelidiki insiden tersebut lebih dalam dengan bantuan pakar keamanan siber pihak ketiga dan telah melaporkan kasus ini ke pihak penegak hukum.