Kebocoran Data Vimeo Mengekspos Informasi Pribadi 119.000 Pengguna
Platform hosting dan streaming video global, Vimeo, dilaporkan telah menjadi korban peretasan yang menyebabkan tereksposnya informasi pribadi milik lebih dari 119.000 orang. Menurut layanan notifikasi kebocoran data Have I Been Pwned, geng peretas pemeras ShinyHunters adalah pihak yang bertanggung jawab atas pencurian data ini pada bulan April lalu.
Sebagai informasi, Vimeo merupakan platform yang diperdagangkan secara publik di bursa saham Nasdaq. Perusahaan ini memiliki lebih dari 300 juta pengguna terdaftar, mempekerjakan lebih dari 1.100 karyawan, dan melaporkan pendapatan sebesar $417 juta untuk tahun fiskal 2024.
Kronologi dan Pengungkapan Insiden
Pada 27 April, Vimeo telah mengungkapkan bahwa data pelanggan dan penggunanya telah diakses tanpa izin. Pelanggaran ini terjadi menyusul peretasan yang menimpa Anodot, sebuah perusahaan mitra penyedia layanan deteksi anomali data.
“Temuan awal kami menunjukkan bahwa basis data yang diakses terutama berisi data teknis, judul video, dan metadata, serta dalam beberapa kasus, alamat email pelanggan,” jelas perwakilan Vimeo dalam pernyataan resminya.
Meskipun terjadi akses ilegal, perusahaan menegaskan bahwa serangan tersebut tidak menyebabkan gangguan sistem, dan peretas tidak berhasil mendapatkan kredensial login atau informasi keuangan/kartu pembayaran milik pengguna yang terdampak. Sebagai langkah mitigasi cepat, Vimeo segera menonaktifkan semua kredensial Anodot, memutuskan integrasi Anodot dari sistem Vimeo, melibatkan pakar keamanan forensik pihak ketiga, dan melaporkannya ke penegak hukum.
Klaim dan Kebocoran dari ShinyHunters
Menyusul pengungkapan insiden oleh Vimeo, kelompok kejahatan siber ShinyHunters muncul dan membocorkan arsip dokumen curian berukuran 106 GB di situs web gelap (dark web) mereka. Langkah ini diambil peretas setelah Vimeo menolak untuk membayar uang tebusan pemerasan.
“Data instance Snowflake dan Bigquery Anda disusupi berkat Anodot.com,” ancam geng pemeras tersebut dalam situsnya. “Perusahaan (Vimeo) gagal mencapai kesepakatan dengan kami terlepas dari kesabaran kami yang luar biasa, semua kesempatan dan tawaran yang kami buat.”
Meskipun Vimeo belum merilis angka pasti mengenai jumlah individu yang terdampak, analisis independen dari Have I Been Pwned terhadap data yang bocor mengonfirmasi bahwa pelanggaran tersebut mengekspos alamat email dan (dalam beberapa kasus) nama lengkap dari 119.200 orang.
Jejak Rekam ShinyHunters yang Mengkhawatirkan
Insiden ini bukan pertama kalinya ShinyHunters memanfaatkan kelemahan mitra pihak ketiga. Sebelumnya, grup ini telah mengklaim kepada BleepingComputer bahwa mereka berhasil mencuri data dari puluhan perusahaan dengan menggunakan token autentikasi Anodot.
Kelompok ini memang dikenal memiliki spesialisasi dalam menargetkan kredensial karyawan dan agen BPO (Business Process Outsourcing) melalui kampanye vishing ekstensif. Setelah berhasil membobol akun Single Sign-On (SSO) perusahaan, mereka akan mencuri data dari aplikasi SaaS (Perangkat Lunak sebagai Layanan) yang terhubung.
Dalam beberapa minggu terakhir saja, nama ShinyHunters telah dikaitkan dengan serangkaian pelanggaran data tingkat tinggi lainnya, termasuk peretasan yang menimpa Komisi Eropa, Rockstar Games, raksasa teknologi pendidikan (EduTech) McGraw Hill dan Instructure, produsen perangkat medis Medtronic, operator kapal pesiar Carnival, hingga perusahaan pelatihan online Udemy.
Sumber: Have I Been Pwned
