Crunchyroll, największa na świecie usługa przesyłania strumieniowego anime należąca do Sony i Aniplex, potwierdziła naruszenie bezpieczeństwa danych mające wpływ na informacje dotyczące zgłoszeń do obsługi klienta. Uważa się, że do incydentu, który jako pierwszy zgłosił haker powołujący się na nieautoryzowany dostęp, doszło z powodu luki w systemie zewnętrznego dostawcy, w szczególności Telus Digital, firmy outsourcingowej zajmującej się obsługą klienta dla Crunchyroll.
Szczegóły i zakres wycieku
Haker twierdzi, że uzyskał dostęp do danych milionów użytkowników Crunchyroll, w tym do potencjalnie wrażliwych informacji na temat próśb o pomoc. Chociaż Crunchyroll twierdzi, że dochodzenie jest w toku i nie potwierdziło jeszcze, że naruszenie miało charakter trwały, dowody wskazują, że naruszenie nastąpiło w wyniku wykorzystania systemów Telus Digital. Zrzuty ekranu krążące w Internecie pokazują wewnętrzne wiadomości Slacka i skradzione dane wskazujące, że osoba atakująca miała dostęp do początku 2025 r., zanim została zbanowana.
Luka w zabezpieczeniach dostawcy i izolowany incydent
Według doniesień ten wyciek jest odrębny od niedawnego, publicznie potwierdzonego incydentu w samej firmie Telus Digital. Oznacza to, że włamanie nie było bezpośrednim atakiem na podstawowe systemy Crunchyroll, ale raczej luką w łańcuchu dostaw, w przypadku której słabość bezpieczeństwa partnera doprowadziła do ujawnienia danych klientów. Fakt, że u tego samego dostawcy wystąpiły dwa różne incydenty związane z bezpieczeństwem, uwypukla problemy systemowe w operacjach outsourcingu wsparcia.
Znaczenie i odpowiedź
Crunchyroll, przejęty przez Sony w 2020 roku za 1,18 miliarda dolarów, ma ponad 15 milionów abonentów na całym świecie. Naruszenie tej skali może podważyć zaufanie użytkowników i ujawnić wrażliwe dane osobowe. Początkowe oświadczenie firmy skupiało się na toczącym się dochodzeniu, ale incydent uwypuklił ryzyko związane z korzystaniem z usług dostawców zewnętrznych w zakresie kluczowych funkcji obsługi klienta. Ani Crunchyroll, ani Telus Digital nie zapewniły pełnej przejrzystości w zakresie zakresu naruszonych danych ani środków podjętych, aby zapobiec ponownemu wystąpieniu.
Ten incydent pokazuje, jak bezpieczeństwo giganta streamingowego może zostać zagrożone za pośrednictwem jego dostawców; stanowi to krytyczne przypomnienie o konieczności ścisłego nadzoru i weryfikacji usług outsourcingowych.
