Crunchyroll, найбільший світовий стрімінговий сервіс аніме, що належить Sony та Aniplex, підтвердила витік даних, що торкнувся інформації про запити до служби підтримки клієнтів. Інцидент, про який вперше повідомив хакер, який стверджував про несанкціонований доступ, імовірно стався через вразливість у системі стороннього постачальника, зокрема Telus Digital, аутсорсингової компанії, що займається підтримкою клієнтів Crunchyroll.
Подробиці та Масштаб Витоку
Хакер стверджує, що отримав доступ до даних, що стосуються мільйонів користувачів Crunchyroll, включаючи потенційно конфіденційну інформацію про запити до служби підтримки. Хоча Crunchyroll заявляє, що розслідування продовжується і поки не підтверджено, що несанкціонований доступ був стійким, докази вказують на те, що витік стався через експлуатацію систем Telus Digital. Скриншоти, що розповсюджуються в мережі, показують внутрішні повідомлення Slack та вкрадені дані, що вказують на те, що зловмисник мав доступ до початку 2025 року, перш ніж його заблокували.
Вразливість Постачальника та Окремий Інцидент
Цей витік, за повідомленнями, є окремим від недавнього, публічно визнаного інциденту в Telus Digital. Це означає, що злом не був прямою атакою на основні системи Crunchyroll, а скоріше вразливістю в ланцюжку поставок, де слабкість безпеки партнера призвела до розкриття цих клієнтів. Той факт, що існує два окремих інциденти безпеки в одного постачальника, підкреслює системні проблеми в аутсорсингових операціях підтримки.
Значення та Реакція
Crunchyroll, придбана Sony у 2020 році за 1,18 мільярда доларів, налічує понад 15 мільйонів передплатників у всьому світі. Витік такого масштабу може підірвати довіру користувачів та розкрити конфіденційну особисту інформацію. Початкова заява компанії зосереджена на розслідуванні, що триває, але інцидент підкреслює ризики, пов’язані з використанням сторонніх постачальників для критично важливих функцій обслуговування клієнтів. Ні Crunchyroll, ні Telus Digital не надали повної прозорості щодо масштабу скомпрометованих даних чи заходів, вжитих для запобігання повторенню.
Цей інцидент показує, як безпека стрімінгового гіганта може бути підірвана через постачальників; це критичне нагадування про необхідність суворого нагляду та перевірки аутсорсингових послуг.
