Crunchyroll, il gigante globale dello streaming di anime di proprietà di Sony e Aniplex, ha confermato una violazione dei dati che ha interessato le informazioni sui biglietti del servizio clienti. L’incidente, segnalato per la prima volta da un hacker che rivendicava un accesso non autorizzato, sembra derivare da una vulnerabilità all’interno di un fornitore di terze parti, in particolare Telus Digital, una società di outsourcing che gestisce l’assistenza clienti di Crunchyroll.
Dettagli e ambito della violazione
L’hacker sostiene l’accesso ai dati riguardanti milioni di utenti di Crunchyroll, inclusi i dettagli dei ticket di assistenza clienti potenzialmente sensibili. Sebbene Crunchyroll affermi che le sue indagini sono in corso e non hanno ancora confermato un accesso non autorizzato, le prove suggeriscono che la violazione è avvenuta attraverso lo sfruttamento dei sistemi di Telus Digital. Gli screenshot che circolano online mostrano messaggi interni di Slack e dati rubati, indicando che l’aggressore ha avuto accesso fino all’inizio del 2025 prima di essere bloccato.
Vulnerabilità del fornitore e incidente separato
Secondo quanto riferito, questa violazione è separata da un recente incidente pubblicamente riconosciuto avvenuto presso la stessa Telus Digital. Ciò significa che la compromissione non è stata un attacco diretto ai sistemi principali di Crunchyroll, ma piuttosto una vulnerabilità della catena di fornitura in cui la debolezza della sicurezza di un partner ha esposto i dati dei clienti. Il fatto che esistano due violazioni separate presso lo stesso fornitore evidenzia problemi sistemici nelle operazioni di supporto in outsourcing.
Significato e risposta
Crunchyroll, acquisito da Sony nel 2020 per 1,18 miliardi di dollari, vanta oltre 15 milioni di abbonati in tutto il mondo. Una violazione di questa portata potrebbe danneggiare la fiducia degli utenti ed esporre informazioni personali sensibili. La dichiarazione iniziale dell’azienda si concentra sulle indagini in corso, ma l’incidente sottolinea il rischio di affidarsi a fornitori di terze parti per funzioni critiche del servizio clienti. Né Crunchyroll né Telus Digital hanno fornito piena trasparenza sull’entità dei dati compromessi o sulle misure adottate per prevenirne il ripetersi.
Questo incidente dimostra come la sicurezza di un gigante dello streaming possa essere compromessa dai suoi fornitori; è un promemoria fondamentale della necessità di una supervisione e di un controllo rigorosi dei servizi esternalizzati.
