Une violation majeure de données sur la plateforme de streaming d’anime Crunchyroll a potentiellement compromis les informations personnelles d’environ 6,8 millions d’utilisateurs. L’incident semble provenir d’une vulnérabilité exploitée chez Telus International, un fournisseur de support client tiers engagé par Crunchyroll. Les pirates prétendent avoir extrait des données sensibles, notamment les noms complets, les noms d’utilisateur, les adresses e-mail, les adresses IP, les emplacements géographiques et les détails des tickets d’assistance.
Comment la violation s’est produite
Le pirate informatique a accédé aux systèmes Crunchyroll en compromettant l’ordinateur d’un agent du support client de Telus International à l’aide d’un logiciel malveillant. Cela leur a permis de voler les identifiants de connexion Okta, donnant ainsi accès à plusieurs comptes Crunchyroll liés à des services tiers tels que Zendesk, Google Workspace, Slack et autres. En l’espace de 24 heures, le pirate informatique a téléchargé 8 millions d’enregistrements de tickets d’assistance contenant les données utilisateur compromises.
En particulier, bien que les numéros de carte de crédit n’aient pas été directement volés, les utilisateurs qui ont inclus des détails partiels de la carte (quatre derniers chiffres ou dates d’expiration) dans les interactions d’assistance peuvent avoir vu ces informations exposées. Le pirate informatique a initialement demandé une rançon de 5 millions de dollars à Crunchyroll, mais n’a signalé aucune réponse de la part de l’entreprise.
Qu’est-ce qui a été volé ?
Les données divulguées comprennent :
- Noms complets
- Noms d’utilisateur
- Adresses e-mail
- Adresses IP
- Localisations géographiques générales
- Contenu des tickets d’assistance (incluant potentiellement des informations sensibles)
Le pirate informatique a fourni la preuve de la violation au site de cybersécurité Bleeping Computer, partageant des captures d’écran et un échantillon des données volées. Le compte International Cyber Digest sur X a également confirmé avoir reçu des preuves similaires, estimant le total des données volées à 100 Go.
Connexion à Telus International
Telus International a elle-même confirmé le même jour une violation distincte, prétendument menée par le célèbre groupe de hackers ShinyHunters. Cependant, l’incident de Crunchyroll ne serait pas lié à cette attaque. Cela met en évidence les risques inhérents à l’externalisation du support client et le potentiel de violations en cascade dans plusieurs entreprises.
Réponse de Crunchyroll (ou absence de réponse)
À ce jour, Crunchyroll n’a publié aucune déclaration publique ni notification aux utilisateurs concernant la violation potentielle. Ce manque de transparence soulève des inquiétudes quant aux pratiques de sécurité des données et aux protocoles de réponse aux incidents. La société a seulement déclaré qu’elle était « au courant des allégations récentes » et qu’elle « travaillait en étroite collaboration avec les principaux experts en cybersécurité pour enquêter sur la question ».
Cet incident souligne la menace croissante qui pèse sur les données des utilisateurs dans l’industrie du divertissement, où les systèmes de support client deviennent souvent des maillons faibles des chaînes de sécurité. Cela souligne également la nécessité de pratiques de gestion des risques liées aux fournisseurs tiers plus strictes.
