Crunchyroll підтверджує витік даних: як хакер отримав доступ до особистої інформації користувачів?

На платформі потокового відео Crunchyroll повідомили про витік даних, пов’язаний із інформацією про обробку запитів клієнтів. Цей інцидент стався через діяльність третьої сторони, оскільки зловмисник стверджує, що мав доступ до даних користувачів та внутрішніх систем компанії.

Crunchyroll, що стала власністю Sony у 2020 році за 1,18 мільярда доларів, є спільним підприємством між американською Sony Pictures Entertainment та японською Aniplex. Сервіс пропонує користувачам понад 2000 аніме-ігор на більш ніж 12 мовах і обслуговує 15 мільйонів підписників по всьому світу.

Проблеми з безпекою обговорюються у мережі, оскільки зловмисник оголосив, що має доступ до даних мільйонів користувачів. У відповідь на цю ситуацію Crunchyroll розпочала внутрішнє розслідування. Виражаючи своє занепокоєння, компанія повідомила: «Наше розслідування триває, і ми працюємо з провідними експертами в галузі кібербезпеки», додавши, що наразі не виявлено ознак подальшого несанкціонованого доступу.

За даними, які надала кібербезпекова платформа International Cyber Digest, зловмисник, ймовірно, отримав доступ до системи підтримки Crunchyroll через Zendesk. Зафіксовані скріншоти, що потрапили до рук журналістів, свідчать про те, що зловмисник розкрадав дані підтримки, проникнувши в обліковий запис співробітника Telus Digital, компанії, що виконує функції клієнтської підтримки для Crunchyroll. Вважається, що доступ до даних тривав до початку 2025 року, після чого зловмиснику закрили доступ.

Варто зазначити, що цей інцидент не має відношення до нещодавнього витоку даних, який торкнувся Telus Digital, про що сама компанія підтвердила минулого тижня. Crunchyroll наразі не надала коментарів щодо зв’язку між тими подіями.

Представники Telus Digital також не відповіли на запити про коментарі. За інформацією зловмисника, як він повідомив BleepingComputer, з систем Crunchyroll було завантажено близько восьми мільйонів записів щодо підтримки, включаючи приблизно 6,8 мільйона унікальних електронних адрес, хоча ці дані ще не були незалежно перевірені. За його словами, доступ був отриманий 12 березня внаслідок компрометації облікового запису Okta, що належить агенту підтримки Crunchyroll.