Kebocoran data besar-besaran pada platform streaming anime Crunchyroll berpotensi membahayakan informasi pribadi sekitar 6,8 juta pengguna. Insiden ini tampaknya berasal dari kerentanan yang dieksploitasi di Telus International, penyedia dukungan pelanggan pihak ketiga yang dikontrak oleh Crunchyroll. Peretas mengklaim telah mengekstrak data sensitif termasuk nama lengkap, nama pengguna, alamat email, alamat IP, lokasi geografis, dan detail dari tiket dukungan.
Bagaimana Pelanggaran Terjadi
Peretas mengakses sistem Crunchyroll dengan menyusupi komputer agen dukungan pelanggan Telus International menggunakan malware. Hal ini memungkinkan mereka mencuri kredensial login Okta, memberikan akses ke beberapa akun Crunchyroll yang tertaut ke layanan pihak ketiga seperti Zendesk, Google Workspace, Slack, dan lainnya. Dalam waktu 24 jam, peretas mengunduh 8 juta catatan tiket dukungan yang berisi data pengguna yang disusupi.
Khususnya, meskipun nomor kartu kredit tidak dicuri secara langsung, pengguna yang menyertakan sebagian detail kartu (empat digit terakhir atau tanggal habis masa berlaku) dalam interaksi dukungan mungkin telah mengungkap informasi ini. Peretas pada awalnya meminta uang tebusan sebesar $5 juta dari Crunchyroll tetapi melaporkan tidak ada tanggapan dari perusahaan.
Apa yang Dicuri?
Data yang bocor tersebut antara lain:
- Nama lengkap
- Nama pengguna
- Alamat email
- alamat IP
- Lokasi geografis umum
- Isi tiket dukungan (berpotensi termasuk informasi sensitif)
Peretas memberikan bukti pelanggaran kepada outlet keamanan siber Bleeping Computer, membagikan tangkapan layar dan contoh data yang dicuri. Akun International Cyber Digest di X juga mengonfirmasi menerima bukti serupa, memperkirakan total data yang dicuri sebesar 100 GB.
Koneksi ke Telus Internasional
Telus International sendiri mengkonfirmasi adanya pelanggaran terpisah pada hari yang sama, yang diduga dilakukan oleh kelompok hacker terkenal ShinyHunters. Namun insiden Crunchyroll diyakini tidak ada hubungannya dengan serangan ini. Hal ini menyoroti risiko inheren dari outsourcing dukungan pelanggan dan potensi pelanggaran yang terjadi di banyak perusahaan.
Tanggapan Crunchyroll (atau Kekurangannya)
Sampai hari ini, Crunchyroll belum mengeluarkan pernyataan publik atau pemberitahuan kepada pengguna tentang potensi pelanggaran. Kurangnya transparansi ini menimbulkan kekhawatiran tentang praktik keamanan data dan protokol respons insiden. Perusahaan hanya menyatakan bahwa mereka “mengetahui klaim baru-baru ini” dan “bekerja sama dengan pakar keamanan siber terkemuka untuk menyelidiki masalah tersebut.”
Insiden ini menggarisbawahi meningkatnya ancaman terhadap data pengguna di industri hiburan, di mana sistem dukungan pelanggan sering kali menjadi titik lemah dalam rantai keamanan. Hal ini juga menyoroti perlunya praktik manajemen risiko vendor pihak ketiga yang lebih ketat.
