Crunchyroll, de wereldwijde anime-streaminggigant van Sony en Aniplex, heeft een datalek bevestigd dat de ticketinformatie van de klantenservice beïnvloedt. Het incident, voor het eerst gemeld door een hacker die claimt dat er sprake is van ongeoorloofde toegang, lijkt voort te komen uit een kwetsbaarheid bij een externe leverancier, met name Telus Digital, een outsourcingbedrijf dat de klantenondersteuning van Crunchyroll verzorgt.
Details en reikwijdte van de inbreuk
De hacker beweert toegang te hebben tot gegevens over miljoenen Crunchyroll-gebruikers, inclusief mogelijk gevoelige details van klantenondersteuningstickets. Hoewel Crunchyroll stelt dat het onderzoek aan de gang is en aanhoudende ongeautoriseerde toegang nog niet heeft bevestigd, suggereert bewijs dat de inbreuk plaatsvond door exploitatie van de systemen van Telus Digital. Schermafbeeldingen die online circuleren tonen interne Slack-berichten en gestolen gegevens, wat aangeeft dat de aanvaller toegang had tot begin 2025 voordat hij werd buitengesloten.
Kwetsbaarheid van leveranciers en afzonderlijk incident
Deze inbreuk staat naar verluidt los van een recent, publiekelijk erkend incident bij Telus Digital zelf. Dit betekent dat het compromis geen directe aanval was op de kernsystemen van Crunchyroll, maar eerder een kwetsbaarheid in de toeleveringsketen waarbij de beveiligingszwakte van een partner klantgegevens blootlegde. Het feit dat er twee afzonderlijke inbreuken bij dezelfde leverancier bestaan, wijst op systemische problemen bij uitbestede ondersteuningsactiviteiten.
Betekenis en reactie
Crunchyroll, in 2020 door Sony overgenomen voor 1,18 miljard dollar, heeft wereldwijd meer dan 15 miljoen abonnees. Een inbreuk op deze schaal kan het vertrouwen van de gebruiker schaden en gevoelige persoonlijke informatie blootleggen. De eerste verklaring van het bedrijf richt zich op het lopende onderzoek, maar het incident onderstreept het risico van het vertrouwen op externe leveranciers voor kritieke klantenservicefuncties. Noch Crunchyroll noch Telus Digital hebben volledige transparantie geboden over de omvang van de gecompromitteerde gegevens of de stappen die zijn ondernomen om herhaling te voorkomen.
Dit incident laat zien hoe de veiligheid van een streaminggigant kan worden ondermijnd via zijn leveranciers; het is een cruciale herinnering aan de noodzaak van streng toezicht op en doorlichting van uitbestede diensten.
