Vimeo duikt op in een afpersingszaak na een hack bij analysetool Anodot, waarbij honderden gigabytes aan gegevens buitmaakten, inclusief 119.000 e-mailadressen.
Videoplatform Vimeo werd op 5 mei 2026 genoemd in een afpersingscampagne van ShinyHunters, na een inbraak bij analysetool Anodot. Bij het incident zijn honderden gigabytes aan data buitgemaakt, met daarin 119.000 unieke e-mailadressen; 56 procent daarvan stond al eerder in bekende lekcollecties.
New breach: Vimeo was named in a ShinyHunters extortion campaign following a compromise of the Anodot analytics service. The incident exposed hundreds of gigabytes of data, including 119k unique email addresses. 56% were already in @haveibeenpwned. More: https://t.co/eXznKDS80Y
— Have I Been Pwned (@haveibeenpwned) May 5, 2026
Dit lek draait niet om een directe inbraak bij een videoplatform, maar om een externe analysetool. Dat maakt het voorbeeld scherp: analytics-diensten verzamelen veel operationele gegevens en raken zo diep vervlochten met de systemen van klanten. Het benoemen van een bekend merk in een afpersing vergroot daarnaast de druk, ook als de aanval bij een leverancier plaatsvond.
Analytics-leverancier blijkt zwakke plek
De aanval trof niet de videodienst zelf, maar Anodot, een externe dienst voor analyse en monitoring. Zulke leveranciers zien doorgaans veel verkeer en prestatiedata en worden vaak gekoppeld aan productiesystemen. Daardoor ontstaat een indirecte toegang tot gevoelige bedrijfsinformatie, zelfs als kernsystemen elders staan. De kwetsbaarheid verschuift zo naar de keten rondom het merk.
In de afpersingscampagne werd Vimeo expliciet genoemd. Dat is een drukmiddel: de dadergroep koppelt het datalek aan een bekend merk om de schade zichtbaarder te maken en betaling af te dwingen. Het zet zowel leverancier als klant in een klem. Hoeveel en welke Vimeo-specifieke gegevens precies in de buit zitten, is niet bekend. Anodot en Vimeo hebben publiek nog geen technische details gedeeld.
Veel data, weinig unieke adressen
Opvallend is de verhouding tussen volume en bereik: honderden gigabytes aan bestanden, maar 119.000 unieke e-mailadressen. Dat duidt op omvangrijke analytics-datasets met veel herhaling, zoals tijdreeksen of events. Zulke verzamelingen bevatten vaak rijke context rond systemen en processen. Welke velden hier zijn buitgemaakt, is onbekend. Maar het grote volume suggereert meer dan een kale adressenlijst.
Voor risico-inschatting telt die nuance. Een beperkte set e-mails zegt weinig over wat er verder is ingezien of gekopieerd. In analytics-bestanden kunnen structuren en patronen zichtbaar worden, bijvoorbeeld hoe een dienst presteert of wanneer pieken optreden. Of zulke inzichten in deze buit zitten, weten we nog niet. De omvang van de data maakt die vraag wel urgent voor betrokken partijen.
Meer dan helft stond al elders
Dat 56 procent van de adressen al in eerdere lekcollecties voorkwam, wijst op overlap met oudere incidenten. Dat verkleint het aantal nieuwe personen in het vizier. Toch blijven er tienduizenden adressen over die niet eerder te vinden waren in zulke indexen. Het gaat dus om een mix van bekend en nieuw, wat opschoning en notificatie ingewikkelder maakt.
Open blijft welke soorten gegevens naast e-mailadressen zijn buitgemaakt en of toegangstokens, interne referenties of configuraties meekwamen. Ook is niet duidelijk of er contact is geweest met klanten over mogelijke impact. Gebruikers kunnen intussen op Have I Been Pwned testen of hun adres voorkomt en extra letten op onverwachte mails die zich voordoen als meldingen van Vimeo. Antwoorden op de technische vragen bepalen de echte nasleep van dit incident.
