Tools / Neuigkeiten / Vimeo bestätigt 119.000 offengelegte Nutzerdatensätze über einen externen Analyseanbieter
Presse

Vimeo bestätigt 119.000 offengelegte Nutzerdatensätze über einen externen Analyseanbieter

· VaultTools

ShinyHunters hat nicht Vimeo selbst angegriffen. Sie kompromittierten Anodot, den Analyseanbieter daneben, und nahmen 106 GB Kundendaten mit. Die Lehre trifft jeden SaaS, der Nutzerdateien verarbeitet.

VaultTools · 12. Mai 2026

Schwarze Überwachungskamera an einer Wand Foto von Bernard Hermant auf Unsplash

Inhaltsverzeichnis


Was ist passiert

Am 28. April 2026 meldete Vimeo eine Datenschutzverletzung, von der rund 119.000 Nutzer betroffen sind. Have I Been Pwned übernahm den Datensatz am 5. Mai 2026 und bestätigte 119.200 eindeutige E-Mail-Adressen. Die Erpressergruppe ShinyHunters bekannte sich zu der Tat und veröffentlichte nach gescheiterten Lösegeldverhandlungen 106 GB der gestohlenen Daten.

Wie der Angriff ablief

Die Angreifer kompromittierten Vimeo nicht direkt. Sie verschafften sich Zugang zu Anodot, einem von Vimeo eingesetzten externen Analyseanbieter, und erbeuteten Authentifizierungstoken für Vimeos Snowflake- und BigQuery-Umgebungen. Diese Token genügten, um Kundendaten aus der Analyse-Pipeline auszulesen. Auf der Seite von Vimeo wurde keine Software-Schwachstelle ausgenutzt.

Was offengelegt wurde

Vimeo bestätigte die Offenlegung von E-Mail-Adressen (teils zusammen mit Namen), Videotiteln, technischen Daten und Metadaten. Videoinhalte, gültige Anmeldedaten und Zahlungsinformationen seien nicht betroffen, so das Unternehmen. Dennoch verließen hunderte Gigabyte kundenbezogener Daten den Sicherheitsbereich von Vimeo, und zwar über einen Anbieter, den die meisten Nutzer nicht einmal kannten.

Die Lehre aus der Lieferkette

Vimeo betreibt eine eigene Infrastruktur mit angemessenen Sicherheitsmaßnahmen. Trotzdem flossen Daten ab, weil sie in eine Analyseplattform eines Drittanbieters kopiert wurden. Jede SaaS, die Nutzerinhalte verarbeitet (also auch Online-Konverter, Bildbearbeitungen und PDF-Werkzeuge), sendet standardmäßig Metadaten an Analyse-, Telemetrie- und Observability-Anbieter. Jede Integration ist eine weitere Tür.

Browserbasierte Werkzeuge, die direkt auf dem Gerät laufen, schließen diese Türen strukturell. Keine Datei verlässt das Gerät, keine Metadaten fließen zu einem Anbieter, und es gibt keinen Server, dessen Zugriff durch Anmeldedaten gesichert werden müsste, weil keiner existiert. Der Vimeo-Vorfall zeigt erneut, dass der Schutz hochgeladener Daten nicht nur vom gewählten Anbieter abhängt, sondern auch von jedem Anbieter, den dieser Anbieter gewählt hat.


Quellen