Крупномасштабний витік даних на аніме-стрімінговій платформі Crunchyroll міг скомпрометувати особисту інформацію близько 6,8 мільйона користувачів. Інцидент, мабуть, стався через вразливість, що експлуатується в Telus International, сторонньому постачальнику служби підтримки клієнтів, що працює за контрактом. Хакери стверджують, що витягли конфіденційні дані, включаючи повні імена, імена користувачів, адреси електронної пошти, IP-адреси, географічні розташування та інформацію із заявок до служби підтримки.
Як стався витік
Хакер отримав доступ до систем Crunchyroll, скомпрометувавши комп’ютер співробітника служби підтримки Telus International за допомогою шкідливого програмного забезпечення. Це дозволило йому вкрасти облікові дані Okta, надавши доступ до кількох облікових записів Crunchyroll, пов’язаних зі сторонніми сервісами, такими як Zendesk, Google Workspace, Slack та іншими. Протягом 24 години хакер скачав 8 мільйонів записів заявок у службу підтримки, що містять скомпрометовані дані користувачів.
Важливо зазначити, що хоча номери кредитних карток безпосередньо не були вкрадені, користувачі, які вказували часткові дані картки (останні чотири цифри або термін дії) у зверненнях до служби підтримки, могли розкрити цю інформацію. Хакер спочатку зажадав викуп у розмірі 5 мільйонів доларів від Crunchyroll, але заявив, що компанія.
Які дані були викрадені?
Витік даних включає:
- Повні імена
- Імена користувачів
- Адреси електронної пошти
- IP-адреси
- Загальні географічні розташування
- вміст заявок у службу підтримки (потенційно включає конфіденційну інформацію)
Хакер надав докази витоку виданню про кібербезпеку Bleeping Computer, поділившись скріншотами та зразком вкрадених даних. Аккаунт International Cyber Digest у X також підтвердив отримання аналогічних доказів, оцінивши загальний обсяг вкрадених даних у 100 ГБ.
Зв’язок з Telus International
Сам Telus International підтвердив окремий витік даних у той же день, імовірно вчинений сумнозвісним хакерським угрупованням ShinyHunters. Проте витік Crunchyroll, на думку експертів, не пов’язаний із цією атакою. Це підкреслює властиві ризики аутсорсингу служби підтримки клієнтів та потенціал каскадних витоків даних у кількох компаніях.
Реакція Crunchyroll (або її відсутність)
На сьогоднішній день Crunchyroll не опублікувала публічної заяви або повідомлення користувачам про потенційний витік. Відсутність прозорості викликає занепокоєння щодо практик забезпечення безпеки даних та протоколів реагування на інциденти. Компанія заявила лише, що вона «обізнана про нещодавні твердження» та «тісно співпрацює з провідними експертами в галузі кібербезпеки для розслідування цього питання».
Цей інцидент наголошує на зростаючій загрозі даних користувачів в індустрії розваг, де системи обслуговування клієнтів часто стають слабкою ланкою в ланцюзі безпеки. Він також наголошує на необхідності більш суворих практик управління ризиками третіх сторін.
