Il gruppo hacker ShinyHunters ha colpito ancora, e stavolta nel mirino è finita Vimeo. La nota piattaforma di streaming video ha confermato un data breach che ha coinvolto circa 119.000 utenti, con un bottino complessivo di circa 106 GB di dati rubati. Un attacco che si inserisce in una lunga scia di violazioni firmate dallo stesso gruppo, già responsabile di intrusioni nei sistemi di aziende come Rockstar, Salesforce, Microsoft, AT&T, Pornhub e SoundCloud. Un curriculum, se così si può chiamare, che rende ShinyHunters uno dei collettivi più temuti nel panorama della cybersicurezza globale.
La cosa interessante, e anche un po’ inquietante, è che i sistemi interni di Vimeo non sono stati violati direttamente. Il punto debole, come succede sempre più spesso, è stato un fornitore esterno: Anodot, azienda specializzata nell’analisi dei dati e nel monitoraggio delle anomalie, che collaborava con Vimeo per la fornitura di servizi e infrastruttura. È attraverso i sistemi di questo partner che gli hacker sono riusciti a mettere le mani sui dati. Un dettaglio che la dice lunga su quanto la catena di sicurezza sia forte quanto il suo anello più debole.
Seguendo il loro schema ormai consolidato, ShinyHunters hanno chiesto un riscatto a Vimeo, pretendendo un pagamento in cambio della promessa di non rendere pubbliche le informazioni sottratte. La piattaforma ha rifiutato di pagare, e di conseguenza i dati sono stati pubblicati online. Tra le informazioni compromesse ci sono indirizzi email, metadati tecnici e titoli dei video associati agli account coinvolti.
Nessuna password rubata, ma i rischi restano concreti
C’è almeno una buona notizia in tutta questa vicenda: secondo quanto dichiarato dalla stessa Vimeo, password, credenziali di accesso attuali, dati relativi a carte di credito e altri metodi di pagamento non sarebbero stati compromessi. La società ha anche sottolineato che l’incidente non ha provocato alcuna interruzione dei servizi e che gli account degli utenti restano operativi e sicuri.
Detto questo, sarebbe sbagliato sottovalutare quello che è successo. Il vero problema con questo tipo di violazioni è ciò che accade dopo. I dati finiti di pubblico dominio possono infatti essere sfruttati da altri cybercriminali di livello inferiore per costruire campagne di phishing molto più credibili o per tentare furti d’identità mirati. Avere a disposizione un indirizzo email reale, magari associato a metadati specifici e titoli di video, rende molto più semplice confezionare messaggi ingannevoli che sembrano legittimi.
Cosa fare per proteggersi dopo il breach di Vimeo
Gli utenti di Vimeo potenzialmente coinvolti nel breach possono verificare se il proprio indirizzo email è stato esposto attraverso Have I Been Pwned, il database pubblico più utilizzato per monitorare account finiti in violazioni informatiche. Anche se in questo caso le password non risultano trafugate, gli esperti di sicurezza consigliano comunque di aggiornarle per tutti gli account collegati allo stesso indirizzo email. Soprattutto se si ha la brutta abitudine, ancora troppo diffusa, di riutilizzare la stessa password per più servizi diversi.
Un’altra misura fortemente raccomandata è l’attivazione dell’autenticazione a due fattori, che resta uno degli strumenti più efficaci per ridurre il rischio di accessi non autorizzati ai propri account, anche nel caso in cui le credenziali dovessero finire nelle mani sbagliate in futuro.
