Naruszenie danych na dużą skalę na platformie transmisji strumieniowej anime Crunchyroll mogło spowodować naruszenie danych osobowych około 6,8 miliona użytkowników. Do incydentu prawdopodobnie doszło w wyniku wykorzystania luki w zabezpieczeniach Telus International, zewnętrznego dostawcy obsługi klienta na podstawie umowy z Crunchyroll. Hakerzy twierdzą, że wyodrębnili wrażliwe dane, w tym imiona i nazwiska, nazwy użytkowników, adresy e-mail, adresy IP, lokalizacje geograficzne i informacje ze zgłoszeń do pomocy technicznej.
Jak doszło do wycieku
Haker uzyskał dostęp do systemów Crunchyroll, atakując komputer pracownika pomocy technicznej Telus International za pomocą złośliwego oprogramowania. Pozwoliło mu to ukraść dane uwierzytelniające Okta, zapewniając dostęp do kilku kont Crunchyroll powiązanych z usługami stron trzecich, takimi jak Zendesk, Google Workspace, Slack i inne. W ciągu 24 godzin haker pobrał 8 milionów rekordów zgłoszeń do pomocy technicznej zawierających skompromitowane dane użytkowników.
** Należy pamiętać, że chociaż numery kart kredytowych nie zostały bezpośrednio skradzione, informacje te mogły zostać naruszone przez użytkowników, którzy podali częściowe informacje o karcie (ostatnie cztery cyfry lub datę ważności) w zgłoszeniach do pomocy technicznej.** Haker początkowo zażądał od Crunchyroll okupu w wysokości 5 milionów dolarów, ale stwierdził, że firma nie odpowiedziała.
Jakie dane zostały skradzione?
Wycieki danych obejmują:
- Pełne nazwiska
- Nazwy użytkowników
- Adresy e-mail
- Adresy IP
- Ogólne lokalizacje geograficzne
- Treść zgłoszeń do pomocy technicznej (potencjalnie zawierająca poufne informacje)
Haker dostarczył dowody wycieku do publikacji o cyberbezpieczeństwie Bleeping Computer, udostępniając zrzuty ekranu i próbkę skradzionych danych. Konto International Cyber Digest w X również potwierdziło otrzymanie podobnych dowodów, szacując łączną ilość skradzionych danych na 100 GB.
Skontaktuj się z firmą Telus International
Sama firma Telus International potwierdziła tego samego dnia odrębne naruszenie danych, którego rzekomo dopuściła się osławiona grupa hakerska ShinyHunters. Jednak zdaniem ekspertów wyciek Crunchyrolla nie jest powiązany z tym atakiem. Podkreśla to nieodłączne ryzyko związane z outsourcingiem obsługi klienta i potencjał kaskadowych naruszeń danych w wielu firmach.
Odpowiedź Crunchyrolla (lub jej brak)
Do chwili obecnej Crunchyroll nie wydał publicznego oświadczenia ani powiadomienia użytkownikom o potencjalnym naruszeniu. Ten brak przejrzystości budzi obawy dotyczące praktyk w zakresie bezpieczeństwa danych i protokołów reagowania na incydenty. Firma podała jedynie, że „jest świadoma niedawnych zarzutów” i „ściśle współpracuje z czołowymi ekspertami ds. cyberbezpieczeństwa w celu zbadania tej sprawy”.
Ten incydent uwydatnia rosnące zagrożenie dla danych użytkowników w branży rozrywkowej, gdzie systemy obsługi klienta często stają się słabym ogniwem w łańcuchu bezpieczeństwa. Podkreśla również potrzebę silniejszych praktyk zarządzania ryzykiem stron trzecich.
