Een groot datalek op anime-streamingplatform Crunchyroll heeft mogelijk de persoonlijke informatie van ongeveer 6,8 miljoen gebruikers in gevaar gebracht. Het incident lijkt voort te komen uit een kwetsbaarheid die wordt uitgebuit bij Telus International, een externe klantondersteuningsprovider die is gecontracteerd door Crunchyroll. Hackers beweren gevoelige gegevens te hebben verzameld, waaronder volledige namen, gebruikersnamen, e-mailadressen, IP-adressen, geografische locaties en details uit ondersteuningstickets.
Hoe de inbreuk plaatsvond
De hacker heeft toegang gekregen tot Crunchyroll-systemen door met behulp van malware de computer van een klantenservicemedewerker van Telus International te compromitteren. Hierdoor konden ze de inloggegevens van Okta stelen, waardoor ze toegang kregen tot meerdere Crunchyroll-accounts die waren gekoppeld aan services van derden, zoals Zendesk, Google Workspace, Slack en anderen. Binnen een tijdsbestek van 24 uur downloadde de hacker 8 miljoen supportticketrecords met de gecompromitteerde gebruikersgegevens.
** Hoewel creditcardnummers niet rechtstreeks werden gestolen, is deze informatie mogelijk openbaar gemaakt bij gebruikers die gedeeltelijke kaartgegevens (laatste vier cijfers of vervaldatums) hebben opgegeven in ondersteuningsinteracties. ** De hacker eiste aanvankelijk een losgeld van $ 5 miljoen van Crunchyroll, maar meldde geen reactie van het bedrijf.
Wat is er gestolen?
De gelekte gegevens omvatten:
- Volledige namen
- Gebruikersnamen
- E-mailadressen
- IP-adressen
- Algemene geografische locaties
- Inhoud van supporttickets (mogelijk inclusief gevoelige informatie)
De hacker verstrekte het bewijs van de inbreuk aan cybersecurity-outlet Bleeping Computer, waarbij hij schermafbeeldingen en een voorbeeld van de gestolen gegevens deelde. Het International Cyber Digest-account op X bevestigde ook dat het soortgelijke bewijsmateriaal ontving, waarbij het totale aantal gestolen gegevens werd geschat op 100 GB.
Verbinding met Telus International
Telus International bevestigde zelf op dezelfde dag een afzonderlijke inbreuk, naar verluidt gepleegd door de beruchte hackergroep ShinyHunters. Er wordt echter aangenomen dat het Crunchyroll-incident geen verband houdt met deze aanval. Dit benadrukt de inherente risico’s van het uitbesteden van klantenondersteuning en de kans op opeenvolgende inbreuken op meerdere bedrijven.
Crunchyroll’s reactie (of het gebrek daaraan)
Vanaf vandaag heeft Crunchyroll geen openbare verklaring of kennisgeving aan gebruikers afgegeven over de mogelijke inbreuk. Dit gebrek aan transparantie roept zorgen op over gegevensbeveiligingspraktijken en incidentresponsprotocollen. Het bedrijf verklaarde alleen dat ze “op de hoogte zijn van recente claims” en “nauw samenwerken met vooraanstaande cyberveiligheidsexperts om de zaak te onderzoeken.”
Dit incident onderstreept de groeiende bedreiging voor gebruikersgegevens in de entertainmentindustrie, waar klantondersteuningssystemen vaak zwakke schakels in beveiligingsketens worden. Het benadrukt ook de noodzaak van strengere risicobeheerpraktijken van externe leveranciers.
