Hanno hackerato Vimeo (tramite un fornitore terzo): trafugati i dati personali di 119.000 utenti (aggiornato: 5 maggio 2026, ore 17:53)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 05/05/2026, 17:53
- Pubblicato: 05/05/2026, 17:49
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
La piattaforma video Vimeo è finita nel mirino di ShinyHunters, uno dei gruppi di estorsione digitale più attivi degli ultimi mesi. L'attacco, avvenuto in aprile, ha portato alla compromissione dei dati personali di oltre 119.000 utenti - un numero confermato dal servizio di notifica violazioni Have I Been Pwned. La vicenda racconta, ancora una volta, la fragilità delle catene di fornitura digitali: l'intrusione non è partita dai sistemi di Vimeo, ma da un fornitore terzo. E le conseguenze si propagano a cascata.
L'anello debole: Anodot
Il vettore d'attacco non ha coinvolto direttamente l'infrastruttura di Vimeo. Gli aggressori hanno colpito Anodot, un'azienda specializzata nel rilevamento di anomalie nei dati e nella business intelligence, che forniva servizi analitici a Vimeo. Da lì hanno sottratto token di autenticazione, usati poi per accedere agli ambienti Snowflake e BigQuery dei clienti di Anodot ed estrarre dati da più organizzazioni a valle.
Il meccanismo è ormai un classico della compromissione tramite supply chain: un singolo fornitore con integrazioni profonde negli ambienti cloud dei propri clienti diventa la porta d'ingresso per raggiungere decine di bersagli. È lo stesso schema che ha segnato alcune delle violazioni più rilevanti degli ultimi anni. Che continui a funzionare la dice lunga sulla gestione delle credenziali e dei permessi nelle architetture distribuite.
» Leggi anche: Adobe hackerata: 13 milioni di ticket, dati personali e altre vulnerabilità sono nelle mani di "Mr. Raccoon"
Cosa è stato rubato
Secondo quanto dichiarato da Vimeo, i database violati contenevano principalmente dati tecnici, titoli e metadati dei video e, in alcuni casi, indirizzi email dei clienti - talvolta accompagnati dai nomi. Have I Been Pwned ha contabilizzato 119.000 indirizzi email univoci esposti nella violazione.
Vimeo ha tenuto a precisare ciò che non è stato compromesso: i contenuti video caricati dagli utenti, le credenziali di accesso e i dati delle carte di pagamento. «Le credenziali di accesso degli utenti e dei clienti Vimeo sono al sicuro. Questo incidente non ha causato interruzioni ai nostri sistemi o al nostro servizio», ha dichiarato l'azienda. Una portavoce ha aggiunto a SecurityWeek: «Abbiamo adottato misure per mettere in sicurezza il nostro ambiente e continuiamo a monitorare attentamente la situazione».
Per i 119.000 utenti coinvolti, i rischi concreti restano significativi. Indirizzi email e nomi reali sono materia prima ideale per campagne di phishing mirato, soprattutto se incrociati con metadati relativi ai contenuti video pubblicati.
ShinyHunters: estorsione industriale
ShinyHunters opera con un modello brutalmente semplice: «paga o pubblichiamo». Il gruppo gestisce un portale sul dark web dove elenca le proprie vittime e pubblica i dati sottratti se il riscatto non viene pagato. Nel caso di Vimeo, la scadenza era stata fissata al 30 aprile 2026, con la minaccia di rendere pubblici i dati o di venderli a terzi, incluse agenzie di marketing. Vimeo ha confermato di non aver alcuna intenzione di pagare. ShinyHunters ha quindi pubblicato centinaia di gigabyte di dati dopo la scadenza dell'ultimatum.
Le tattiche del gruppo vanno oltre il puro sfruttamento tecnico. Tra i metodi documentati figurano telefonate in lingua inglese in cui gli attaccanti si spacciano per personale di supporto tecnico, cercando di indurre i dipendenti a fornire credenziali di accesso interne. Ingegneria sociale e competenze tecniche, combinate con un'efficacia difficile da ignorare.
Il gruppo è particolarmente attivo da febbraio 2025 e sembra concentrarsi su organizzazioni connesse ad ambienti Salesforce e ad altri servizi cloud diffusi. Vimeo non è un caso isolato: nella stessa campagna legata alla compromissione di Anodot, ShinyHunters ha rivendicato attacchi contro Rockstar Games (con oltre 78,6 milioni di record sottratti, secondo le dichiarazioni del gruppo), Zara, Wynn Resorts, Medtronic, ADT e Carnival Corporation. Quest'ultima avrebbe subito l'esposizione di dati relativi a circa 8,7 milioni di clienti - nomi, email, recapiti e date di nascita - il tutto a partire da un singolo account utente compromesso.
La risposta di Vimeo
L'azienda - quotata al Nasdaq, con un fatturato annuo di 417 milioni di dollari e oltre 1.100 dipendenti - ha reagito disabilitando tutte le credenziali associate ad Anodot e rimuovendo completamente l'integrazione del servizio dai propri sistemi. Ha inoltre coinvolto esperti di sicurezza esterni e notificato le autorità competenti.
La dichiarazione ufficiale recita: «I nostri riscontri iniziali indicano che i database a cui è stato effettuato l'accesso contengono principalmente dati tecnici, titoli e metadati dei video e, in alcuni casi, indirizzi email dei clienti». Un messaggio calibrato per contenere il danno reputazionale, che lascia però aperta una domanda scomoda: quanto Vimeo fosse al corrente dei permessi effettivamente concessi ad Anodot e della superficie d'attacco che quell'integrazione comportava.
Cosa fare se si è coinvolti
La violazione è già indicizzata su Have I Been Pwned, all'indirizzo haveibeenpwned.com. Chiunque abbia un account Vimeo - attivo o dimenticato - farebbe bene a verificare se il proprio indirizzo email compare tra quelli esposti. Anche se Vimeo ha dichiarato che le credenziali di accesso non sono state compromesse, le raccomandazioni di Have I Been Pwned sono chiare: cambiare la password e attivare l'autenticazione a due fattori (2FA).
Il consiglio vale doppio per chi riutilizza la stessa password su più servizi - una pratica che trasforma una singola violazione in un problema sistemico. Con nome, email e metadati sui contenuti pubblicati, un attaccante ha tutto il necessario per confezionare un'email di phishing credibile. La vigilanza, in questi casi, non è paranoia: è igiene digitale di base.
Il quadro più ampio
ShinyHunters sta conducendo una campagna sistematica contro organizzazioni che dipendono da fornitori terzi per l'analisi dei dati. Il principio è semplice: perché attaccare una fortezza quando puoi entrare dal fornitore che ha le chiavi del magazzino? La compromissione di Anodot ha aperto le porte a un numero imprecisato di ambienti cloud, e le vittime confermate spaziano dal gaming all'intrattenimento, dalla moda alla sanità, dall'ospitalità alla sicurezza domestica.
Per le aziende, la lezione è scomoda ma limpida: la sicurezza della propria infrastruttura vale quanto quella del fornitore più debole nella catena. I token di autenticazione concessi a servizi terzi devono essere gestiti con lo stesso rigore riservato alle credenziali interne - e revocati con altrettanta prontezza quando il rapporto di fiducia viene meno. Per gli utenti, il messaggio è altrettanto diretto: i servizi di notifica come Have I Been Pwned non sono un optional. Sono uno strumento essenziale per sapere quando i propri dati finiscono dove non dovrebbero.
