Ein schwerwiegender Datenverstoß bei der Anime-Streaming-Plattform Crunchyroll hat möglicherweise die persönlichen Daten von etwa 6,8 Millionen Benutzern gefährdet. Der Vorfall scheint auf eine Schwachstelle zurückzuführen zu sein, die bei Telus International, einem von Crunchyroll beauftragten externen Kundensupportanbieter, ausgenutzt wurde. Hacker behaupten, sensible Daten wie vollständige Namen, Benutzernamen, E-Mail-Adressen, IP-Adressen, geografische Standorte und Details aus Support-Tickets extrahiert zu haben.
Wie es zu dem Verstoß kam
Der Hacker griff auf Crunchyroll-Systeme zu, indem er den Computer eines Kundendienstmitarbeiters von Telus International mithilfe von Malware kompromittierte. Dadurch konnten sie Okta-Anmeldedaten stehlen und Zugriff auf mehrere Crunchyroll-Konten gewähren, die mit Drittanbieterdiensten wie Zendesk, Google Workspace, Slack und anderen verknüpft waren. Innerhalb eines 24-Stunden-Fensters lud der Hacker 8 Millionen Support-Ticket-Datensätze herunter, die die kompromittierten Benutzerdaten enthielten.
Bemerkenswert ist, dass Kreditkartennummern zwar nicht direkt gestohlen wurden, Benutzer, die bei Support-Interaktionen teilweise Kartendetails (letzte vier Ziffern oder Ablaufdaten) angaben, könnten diese Informationen offengelegt haben. Der Hacker forderte zunächst ein Lösegeld in Höhe von 5 Millionen US-Dollar von Crunchyroll, meldete jedoch keine Reaktion des Unternehmens.
Was wurde gestohlen?
Zu den durchgesickerten Daten gehören:
- Vollständige Namen
- Benutzernamen
- E-Mail-Adressen
- IP-Adressen
- Allgemeine geografische Standorte
- Inhalte von Support-Tickets (möglicherweise einschließlich vertraulicher Informationen)
Der Hacker lieferte dem Cybersicherheitsportal Bleeping Computer Beweise für den Verstoß und teilte Screenshots und eine Probe der gestohlenen Daten mit. Das Konto „International Cyber Digest“ auf X bestätigte ebenfalls den Erhalt ähnlicher Beweise und schätzte die Gesamtmenge der gestohlenen Daten auf 100 GB.
Verbindung zu Telus International
Telus International selbst bestätigte am selben Tag einen separaten Verstoß, der angeblich von der berüchtigten Hackergruppe ShinyHunters begangen wurde. Es wird jedoch angenommen, dass der Crunchyroll-Vorfall nichts mit diesem Angriff zu tun hat. Dies verdeutlicht die inhärenten Risiken der Auslagerung des Kundensupports und das Potenzial für kaskadierende Sicherheitsverletzungen über mehrere Unternehmen hinweg.
Crunchyrolls Antwort (oder deren Fehlen)
Bis heute hat Crunchyroll keine öffentliche Erklärung oder Benachrichtigung an Benutzer über den möglichen Verstoß abgegeben. Dieser Mangel an Transparenz gibt Anlass zu Bedenken hinsichtlich der Datensicherheitspraktiken und der Protokolle zur Reaktion auf Vorfälle. Das Unternehmen gab lediglich an, dass man „sich der jüngsten Behauptungen bewusst ist“ und „eng mit führenden Cyber-Sicherheitsexperten zusammenarbeitet, um die Angelegenheit zu untersuchen“.
Dieser Vorfall unterstreicht die wachsende Bedrohung für Benutzerdaten in der Unterhaltungsbranche, wo Kundensupportsysteme häufig zu Schwachstellen in Sicherheitsketten werden. Es unterstreicht auch die Notwendigkeit strengerer Risikomanagementpraktiken von Drittanbietern.
