Crunchyroll, le géant mondial du streaming d’anime appartenant à Sony et Aniplex, a confirmé une violation de données affectant les informations des tickets du service client. L’incident, signalé pour la première fois par un pirate informatique prétendant un accès non autorisé, semble provenir d’une vulnérabilité au sein d’un fournisseur tiers, en particulier Telus Digital, une société d’externalisation qui gère le support client de Crunchyroll.
Détails et portée de la violation
Le pirate informatique prétend avoir accès à des données concernant des millions d’utilisateurs de Crunchyroll, y compris des détails potentiellement sensibles sur les tickets d’assistance client. Bien que Crunchyroll déclare que son enquête est en cours et n’a pas encore confirmé un accès non autorisé soutenu, les preuves suggèrent que la violation s’est produite via l’exploitation des systèmes de Telus Digital. Des captures d’écran circulant en ligne montrent des messages internes de Slack et des données volées, indiquant que l’attaquant y avait accès jusqu’au début de 2025 avant d’être verrouillé.
Vulnérabilité du fournisseur et incident distinct
Cette violation serait distincte d’un incident récent et publiquement reconnu chez Telus Digital lui-même. Cela signifie que la compromission n’était pas une attaque directe contre les systèmes centraux de Crunchyroll, mais plutôt une vulnérabilité de la chaîne d’approvisionnement où la faille de sécurité d’un partenaire exposait les données des clients. Le fait qu’il existe deux violations distinctes chez le même fournisseur met en évidence des problèmes systémiques dans les opérations de support externalisées.
Importance et réponse
Crunchyroll, acquis par Sony en 2020 pour 1,18 milliard de dollars, compte plus de 15 millions d’abonnés dans le monde. Une violation de cette ampleur pourrait nuire à la confiance des utilisateurs et exposer des informations personnelles sensibles. La déclaration initiale de l’entreprise se concentre sur une enquête en cours, mais l’incident souligne le risque de s’appuyer sur des fournisseurs tiers pour les fonctions critiques du service client. Ni Crunchyroll ni Telus Digital n’ont fourni une transparence totale sur l’étendue des données compromises ou sur les mesures prises pour éviter que cela ne se reproduise.
Cet incident montre à quel point la sécurité d’un géant du streaming peut être mise à mal par le biais de ses fournisseurs ; il s’agit d’un rappel crucial de la nécessité d’une surveillance et d’un contrôle rigoureux des services externalisés.
