Thought Leadership
Die Hackergruppe ShinyHunters hat nach einem Einbruch bei Vimeo 106 GB an Daten veröffentlicht. Betroffen sind E-Mail-Adressen und Metadaten von 119.200 Personen.
Update vom 06. Mai 2026
Der Benachrichtigungsdienst „Have I Been Pwned“ (HIBP) hat die technischen Details eines massiven Datenlecks bei der Video-Plattform Vimeo bestätigt. Demnach wurden im Zuge eines Hackerangriffs die persönlichen Informationen von 119.200 Personen entwendet. Hinter dem Angriff steht die berüchtigte Erpressergruppe ShinyHunters, die den Einbruch über eine kompromittierte Schnittstelle des Drittanbieters Anodot realisierte. Vimeo, ein an der Nasdaq börsennotiertes Unternehmen mit über 300 Millionen registrierten Nutzern, hatte den Vorfall bereits Ende April angedeutet, das volle Ausmaß wurde jedoch erst jetzt durch die Analyse der geleakten Datensätze bekannt.
Einbruch über Drittanbieter-Schnittstelle von Anodot
Der Angriff auf Vimeo war kein direkter Durchbruch durch die Hauptserver des Unternehmens, sondern ein klassischer Supply-Chain-Angriff. Die Hacker verschafften sich Zugriff auf Authentifizierungs-Token von Anodot, einer Firma, die auf die Erkennung von Datenanomalien spezialisiert ist. Über diese autorisierten Schnittstellen konnten die Angreifer tief in die Cloud-Infrastrukturen von Vimeo eindringen, die auf Google BigQuery und Snowflake basieren.
Nachdem der unbefugte Zugriff entdeckt worden war, reagierte Vimeo am 27. April 2026 mit der Deaktivierung sämtlicher Anodot-Anmeldedaten. Die Integration des Dienstleisters wurde vollständig aus den Systemen entfernt, um den Abfluss weiterer Informationen zu stoppen. Dennoch war es ShinyHunters zu diesem Zeitpunkt bereits gelungen, umfangreiche Datenbank-Dumps zu sichern. Das Unternehmen betonte, dass der Vorfall den regulären Betrieb der Streaming-Plattform nicht beeinträchtigt habe.
Technische Metadaten gehackt
Nach gescheiterten Erpressungsversuchen veröffentlichte ShinyHunters ein Archiv mit einem Volumen von 106 Gigabyte auf ihrer Leak-Seite im Darknet. Die Analyse durch HIBP ergab, dass die Daten primär aus E-Mail-Adressen und in zahlreichen Fällen auch aus den Klarnamen der betroffenen Nutzer bestehen. Darüber hinaus enthält das Paket technische Metadaten, Videotitel und organisatorische Informationen aus den internen Datenbanken.
Vimeo stellte in einer offiziellen Erklärung klar, dass keine Passwörter, Bankverbindungen oder Kreditkarteninformationen entwendet wurden. Auch die eigentlichen Videoinhalte der Nutzer seien nicht Teil des Lecks. Da die Angreifer jedoch Zugriff auf Metadaten und E-Mail-Listen hatten, besteht für die betroffenen 119.200 Personen nun ein erhöhtes Risiko für gezielte Phishing-Attacken und Social-Engineering-Versuche, bei denen die Hacker ihr Wissen über interne Videotitel nutzen könnten, um Glaubwürdigkeit vorzutäuschen.
Gezielte Hackerangriffe auf Single-Sign-On-Konten
Die Gruppe ShinyHunters gab gegenüber IT-Sicherheitsportalen an, dass Vimeo nur eines von Dutzenden Unternehmen sei, die über die Anodot-Schwachstelle angegriffen wurden. Die Strategie der Gruppe zielt im Jahr 2026 verstärkt auf Single-Sign-On-Konten (SSO) und Cloud-SaaS-Anwendungen ab. Neben BigQuery und Snowflake standen in den vergangenen Wochen auch Salesforce-Instanzen im Fokus, wobei die Gruppe einräumte, dass KI-gestützte Erkennungssysteme bei Salesforce einige ihrer Infiltrationsversuche blockieren konnten.
Die Liste der jüngsten Opfer von ShinyHunters liest sich wie ein Branchenverzeichnis internationaler Großkonzerne und Institutionen. Zu den bestätigten oder behaupteten Opfern zählen unter anderem die Europäische Kommission, Rockstar Games, der Bildungsriese McGraw Hill sowie Unternehmen wie Zara, 7-Eleven, Medtronic und die Kreuzfahrtgesellschaft Carnival. Die Gruppe nutzt häufig Vishing-Kampagnen (Voice Phishing), um Mitarbeiter dazu zu bringen, Zugangsdaten für Microsoft Entra oder Okta preiszugeben.
Sicherheitsmaßnahmen und Empfehlungen für Betroffene
Vimeo hat nach eigenen Angaben externe Sicherheitsexperten eingeschaltet und die Strafverfolgungsbehörden über den Vorfall informiert. Da keine Passwörter direkt betroffen sind, ist ein sofortiger Reset der Anmeldedaten nicht zwingend erforderlich, wird jedoch von Experten als Vorsichtsmaßnahme empfohlen. Insbesondere, wenn dieselben Passwörter bei anderen Diensten verwendet werden.
Nutzer sollten in den kommenden Wochen besonders wachsam gegenüber unaufgeforderten E-Mails sein, die Bezug auf ihre Vimeo-Konten oder spezifische Video-Uploads nehmen. Da ShinyHunters dafür bekannt ist, gestohlene Daten für Folgeangriffe innerhalb von Unternehmen zu nutzen (Lateral Movement), rät Vimeo seinen Firmenkunden zudem, sämtliche Integrationen von Drittanbietern auf verdächtige Aktivitäten zu prüfen und API-Schlüssel routinemäßig zu rotieren.
Der Vorfall unterstreicht die wachsende Gefahr durch vernetzte Cloud-Ökosysteme. Selbst hochgesicherte Plattformen wie Vimeo sind nur so sicher wie das schwächste Glied in ihrer Kette von Drittanbieter-Integrationen.
Erstmeldung vom 29. April 2026: ShinyHunters fordern Lösegeld nach Vimeo-Datenleck
Die Video-Plattform Vimeo ist das neueste Ziel einer groß angelegten Erpressungskampagne der Hacker-Gruppe ShinyHunters, wie Vimeo bestätigte. Die Cyberkriminellen gaben bekannt, dass sie Zugriff auf Daten aus den Cloud-Speichern von Vimeo erlangt haben. Die Gruppe droht damit, die Informationen zu veröffentlichen, sollte das Unternehmen nicht innerhalb von zwei Tagen ein bisher nicht genanntes Lösegeld.
Ursache für Hackerangriff liegt bei einem Drittanbieter
Nach Angaben der Erpresser gelang der Einbruch über eine Sicherheitslücke bei Anodot, einem israelischen Unternehmen für Business-Analysen, das von Vimeo als Dienstleister genutzt wird. Die Hacker von ShinyHunters behaupten, spezifische Instanzen von Snowflake und BigQuery kompromittiert zu haben. Dabei handelt es sich um weit verbreitete Cloud-Datenbank-Lösungen, in denen Unternehmen große Mengen an Geschäfts- und Analysedaten speichern.
Vimeo hat den Vorfall inzwischen offiziell bestätigt. Ein Sprecher des Unternehmens erklärte, dass man sich des Vorfalls bewusst sei und dieser im Zusammenhang mit einem Sicherheitsereignis bei einem Drittanbieter stehe. Das Unternehmen habe umgehend Maßnahmen ergriffen, um die eigene Umgebung abzusichern und die Situation genau zu beobachten. Alle Anmeldedaten und Integrationen für den betroffenen Dienstleister Anodot wurden laut Vimeo deaktiviert.
Videoinhalte der Vimeo-Nutzer nicht betroffen
In einem offiziellen Blog-Post gab Vimeo erste Details zum Ausmaß des Datenabflusses bekannt. Demnach haben unbefugte Akteure auf bestimmte Nutzer- und Kundendaten zugegriffen. Die bisherigen Untersuchungen deuten auf folgende Punkte hin:
- Betroffen sind primär technische Daten, Videotitel und Metadaten.
- In einigen Fällen wurden auch E-Mail-Adressen von Kunden eingesehen.
- Nicht betroffen sind die eigentlichen Videoinhalte der Nutzer.
- Gültige Zugangsdaten wie Passwörter oder Informationen zu Zahlungsmitteln wurden laut Vimeo nicht kompromittiert.
Das Unternehmen betont, dass die Login-Daten der Nutzer sicher sind und der Vorfall keine Störungen der Dienste oder Systeme verursacht hat. Zur weiteren Aufarbeitung wurden externe Sicherheits-Experten hinzugezogen.
Möglicherweise über ein Dutzend Unternehmen betroffen
Die Gruppe ShinyHunters ist in der Cybersicherheits-Szene für ihre aggressiven Methoden und erfolgreichen Angriffe auf namhafte Unternehmen bekannt. Der aktuelle Fall bei Vimeo scheint Teil einer größeren Angriffswelle zu sein, die gezielt Snowflake-Kunden ins Visier nimmt. Berichten zufolge könnten über ein Dutzend Unternehmen betroffen sein, nachdem Angreifer Authentifizierungs-Token von SaaS-Integrationsanbietern wie Anodot erbeutet haben.
In den vergangenen Wochen reklamierte ShinyHunters bereits Angriffe auf zahlreiche prominente Ziele für sich. Dazu gehören unter anderem die Lernplattform Udemy, der Sicherheitsdienstleister ADT, das Verkehrsunternehmen Amtrak sowie bekannte Marken wie Zara, Rockstar Games und 7-Eleven. Auch die Europäische Kommission wurde als potenzielles Opfer genannt.
Risiken für die digitale Souveränität
Der Vorfall unterstreicht die wachsenden Gefahren durch Abhängigkeiten von Drittanbietern in der Cloud-Infrastruktur. Da Plattformen wie Snowflake und BigQuery zentrale Knotenpunkte für Unternehmensdaten darstellen, ist ein Zugriff auf diese Systeme besonders kritisch. Die erbeuteten Metadaten und Nutzeranalysen könnten von Kriminellen für gezielte Phishing-Angriffe oder weitere Identitäts-Diebstähle missbraucht werden.
Vimeo setzt seine Untersuchungen fort und kündigte an, betroffene Kunden über weitere Erkenntnisse zu informieren. Da die von den Hackern gesetzte Frist von 48 Stunden als letzte Warnung deklariert wurde, bleibt die Situation für das Unternehmen und seine Nutzer vorerst angespannt.
