Rozsáhlé narušení dat na anime streamovací platformě Crunchyroll mohlo ohrozit osobní údaje přibližně 6,8 milionů uživatelů. Zdá se, že k incidentu došlo kvůli zneužití zranitelnosti v Telus International, poskytovateli služeb zákazníkům třetí strany na základě smlouvy s Crunchyroll. Hackeři tvrdí, že získali citlivá data včetně celých jmen, uživatelských jmen, e-mailových adres, IP adres, zeměpisných poloh a informací z lístků podpory.
Jak k úniku došlo
Hacker získal přístup k systémům Crunchyroll kompromitováním počítače zaměstnance podpory Telus International malwarem. To mu umožnilo ukrást přihlašovací údaje Okta a poskytnout přístup k několika účtům Crunchyroll spojeným se službami třetích stran, jako jsou Zendesk, Google Workspace, Slack a další. Během 24 hodin si hacker stáhl 8 milionů záznamů lístků podpory obsahujících kompromitovaná uživatelská data.
Je důležité poznamenat, že ačkoli čísla kreditních karet nebyla přímo odcizena, uživatelé, kteří poskytli částečné informace o kartě (poslední čtyři číslice nebo datum vypršení platnosti) v lístcích podpory, mohli mít tyto informace kompromitovány. Hacker původně požadoval od Crunchyroll výkupné ve výši 5 milionů dolarů, ale společnost nereagovala.
Jaká data byla ukradena?
Mezi úniky dat patří:
- Celá jména
- Uživatelská jména
- E-mailové adresy
- IP adresy
- Obecné zeměpisné polohy
- Obsah lístků podpory (potenciálně včetně citlivých informací)
Hacker poskytl důkazy o úniku do publikace Bleeping Computer o kybernetické bezpečnosti, sdílel snímky obrazovky a vzorek ukradených dat. Účet International Cyber Digest na X také potvrdil obdržení podobných důkazů, přičemž celkové množství ukradených dat odhaduje na 100 GB.
Kontaktujte Telus International
Sama Telus International ve stejný den potvrdila samostatný únik dat, kterého se údajně dopustila nechvalně známá hackerská skupina ShinyHunters. Únik Crunchyrollu však podle odborníků s tímto útokem nesouvisí. To zdůrazňuje inherentní rizika outsourcingu zákaznických služeb a potenciál pro kaskádové úniky dat napříč různými společnostmi.
Odpověď Crunchyroll (nebo její absence)
K dnešnímu dni společnost Crunchyroll nevydala veřejné prohlášení ani oznámení uživatelům o možném narušení bezpečnosti. Tento nedostatek transparentnosti vyvolává obavy ohledně postupů v oblasti zabezpečení dat a protokolů reakce na incidenty. Společnost pouze uvedla, že si je “uvědomována o nedávných obviněních” a “úzce spolupracuje s předními odborníky na kybernetickou bezpečnost na vyšetření této záležitosti.”
Tento incident poukazuje na rostoucí hrozbu pro uživatelská data v zábavním průmyslu, kde se systémy zákaznických služeb často stávají slabým článkem bezpečnostního řetězce. Zdůrazňuje také potřebu silnějších postupů řízení rizik třetích stran.
