Crunchyroll, gigante global de streaming de anime de propriedade da Sony e Aniplex, confirmou uma violação de dados que afeta as informações dos tickets de atendimento ao cliente. O incidente, relatado pela primeira vez por um hacker alegando acesso não autorizado, parece resultar de uma vulnerabilidade dentro de um fornecedor terceirizado, especificamente a Telus Digital, uma empresa terceirizada que cuida do suporte ao cliente da Crunchyroll.
Detalhes e escopo da violação
O hacker alega acesso a dados relativos a milhões de usuários do Crunchyroll, incluindo detalhes potencialmente confidenciais de tickets de suporte ao cliente. Embora a Crunchyroll afirme que a sua investigação está em curso e ainda não confirmou o acesso não autorizado sustentado, as evidências sugerem que a violação ocorreu através da exploração dos sistemas da Telus Digital. Capturas de tela que circulam online mostram mensagens internas do Slack e dados roubados, indicando que o invasor teve acesso até o início de 2025 antes de ser bloqueado.
Vulnerabilidade do fornecedor e incidente separado
Esta violação é supostamente separada de um incidente recente e publicamente reconhecido na própria Telus Digital. Isto significa que o compromisso não foi um ataque direto aos sistemas centrais da Crunchyroll, mas sim uma vulnerabilidade da cadeia de abastecimento onde a fraqueza de segurança de um parceiro expôs os dados dos clientes. O fato de existirem duas violações distintas no mesmo fornecedor destaca problemas sistêmicos nas operações de suporte terceirizadas.
Significado e Resposta
A Crunchyroll, adquirida pela Sony em 2020 por US$ 1,18 bilhão, possui mais de 15 milhões de assinantes em todo o mundo. Uma violação dessa escala pode prejudicar a confiança do usuário e expor informações pessoais confidenciais. A declaração inicial da empresa concentra-se na investigação em andamento, mas o incidente ressalta o risco de depender de fornecedores terceirizados para funções críticas de atendimento ao cliente. Nem a Crunchyroll nem a Telus Digital forneceram total transparência sobre a extensão dos dados comprometidos ou as medidas tomadas para evitar a recorrência.
Este incidente mostra como a segurança de uma gigante do streaming pode ser prejudicada através de seus fornecedores; é um lembrete crítico da necessidade de supervisão e verificação rigorosas dos serviços terceirizados.
