A plataforma de vídeos Vimeo confirmou ter sofrido uma violação de segurança após o grupo de extorsão ShinyHunters alegar acesso indevido a instâncias da empresa hospedadas em serviços como Snowflake e BigQuery. Os criminosos publicaram um ultimato na dark web em 28 de abril de 2026, exigindo pagamento para evitar o vazamento das informações obtidas.
De acordo com a quadrilha, a brecha teria sido explorada por meio da Anodot, empresa israelense de análise de dados utilizada pela Vimeo como integração terceirizada. Na mensagem publicada, o grupo afirma ter comprometido sistemas da companhia a partir dessa conexão e ameaça divulgar os dados caso não haja acordo.
A Vimeo reconheceu o incidente em comunicado oficial. Segundo a empresa, um agente não autorizado acessou parte dos dados de usuários e clientes em decorrência da falha relacionada à Anodot. As primeiras análises apontam que o material exposto inclui principalmente informações técnicas, metadados e títulos de vídeos, além de alguns endereços de e-mail.
A companhia afirmou que conteúdos armazenados na plataforma, credenciais de login válidas e dados de pagamento não foram comprometidos.
Como resposta imediata, a Vimeo revogou todas as credenciais associadas à Anodot, encerrou a integração com o serviço, acionou especialistas externos em segurança digital e notificou as autoridades competentes. A investigação segue em andamento.
Apesar de a empresa minimizar o impacto, especialistas alertam que mesmo dados aparentemente limitados podem ser explorados em ataques futuros. Informações técnicas, metadados e e-mails podem servir como base para campanhas de phishing direcionado, engenharia social e outras tentativas de comprometimento.
O episódio amplia a preocupação com ataques à cadeia de suprimentos digitais, em que criminosos exploram vulnerabilidades em fornecedores terceirizados para alcançar grandes empresas.
O caso também reforça a ofensiva recente do ShinyHunters, que vem intensificando ataques contra grandes plataformas. Nos últimos dias, o grupo também assumiu a autoria do vazamento de dados da Udemy, expondo informações de cerca de 1,4 milhão de usuários.
Até o momento, não há detalhes sobre o volume total de dados comprometidos nem sobre o valor exigido no pedido de extorsão. O prazo imposto pelos criminosos sugere que, se houver negociação, ela ainda está longe de um desfecho.
