Una importante filtración de datos en la plataforma de streaming de anime Crunchyroll ha comprometido potencialmente la información personal de aproximadamente 6,8 millones de usuarios. El incidente parece deberse a una vulnerabilidad explotada en Telus International, un proveedor externo de atención al cliente contratado por Crunchyroll. Los piratas informáticos afirman haber extraído datos confidenciales, incluidos nombres completos, nombres de usuario, direcciones de correo electrónico, direcciones IP, ubicaciones geográficas y detalles de los tickets de soporte.
Cómo ocurrió la infracción
El pirata informático accedió a los sistemas Crunchyroll comprometiendo la computadora de un agente de atención al cliente de Telus International mediante malware. Esto les permitió robar las credenciales de inicio de sesión de Okta, otorgándoles acceso a múltiples cuentas de Crunchyroll vinculadas a servicios de terceros como Zendesk, Google Workspace, Slack y otros. En un período de 24 horas, el pirata informático descargó 8 millones de registros de tickets de soporte que contenían los datos de los usuarios comprometidos.
En particular, si bien los números de tarjetas de crédito no fueron robados directamente, los usuarios que incluyeron detalles parciales de la tarjeta (últimos cuatro dígitos o fechas de vencimiento) en las interacciones de soporte pueden haber expuesto esta información. El pirata informático inicialmente exigió un rescate de 5 millones de dólares a Crunchyroll, pero no informó ninguna respuesta de la empresa.
¿Qué fue robado?
Los datos filtrados incluyen:
- Nombres completos
- Nombres de usuario
- Direcciones de correo electrónico
- direcciones IP
- Ubicaciones geográficas generales
- Contenido de los tickets de soporte (que potencialmente incluyen información confidencial)
El hacker proporcionó pruebas de la violación al medio de ciberseguridad Bleeping Computer, compartiendo capturas de pantalla y una muestra de los datos robados. La cuenta de International Cyber Digest en X también confirmó haber recibido evidencia similar, estimando el total de datos robados en 100 GB.
Conexión a Telus Internacional
La propia Telus International confirmó una violación separada el mismo día, supuestamente llevada a cabo por el famoso grupo de hackers ShinyHunters. Sin embargo, se cree que el incidente de Crunchyroll no está relacionado con este ataque. Esto pone de relieve los riesgos inherentes de subcontratar la atención al cliente y la posibilidad de que se produzcan infracciones en cascada en varias empresas.
La respuesta de Crunchyroll (o la falta de ella)
A día de hoy, Crunchyroll no ha emitido una declaración pública ni una notificación a los usuarios sobre la posible infracción. Esta falta de transparencia genera preocupaciones sobre las prácticas de seguridad de los datos y los protocolos de respuesta a incidentes. La compañía se limitó a afirmar que están “conscientes de las afirmaciones recientes” y que están “trabajando en estrecha colaboración con los principales expertos en seguridad cibernética para investigar el asunto”.
Este incidente subraya la creciente amenaza a los datos de los usuarios en la industria del entretenimiento, donde los sistemas de atención al cliente a menudo se convierten en eslabones débiles de las cadenas de seguridad. También destaca la necesidad de prácticas más estrictas de gestión de riesgos de proveedores externos.
