Komoly adatvédelmi incidens gyanúja merült fel a világ legnagyobb anime fókuszú streamingszolgáltatója, a Crunchyroll háza táján, miután egy hackercsoport azt állítja, hogy közel 6,8 millió felhasználó személyes adataihoz jutott hozzá. A vállalat egyelőre óvatosan fogalmaz, de a BleepingComputer megkeresésére elismerte, hogy vizsgálat indult az ügyben külső kiberbiztonsági szakértők bevonásával.
A támadók beszámolója szerint a behatolásra március 12-én került sor, amikor sikerült hozzáférniük egy ügyfélszolgálati munkatárs fiókjához egy külsős partneren keresztül. A kulcs itt egy úgynevezett SSO-rendszer volt, konkrétan az Okta, amelyen keresztül több belső szolgáltatás is elérhetővé vált számukra. Az érintett dolgozó állítólag a Telus International alkalmazásában állt, amely kiszervezett ügyfélszolgálati feladatokat lát el - és mint kiderült, ez az egyik leggyengébb láncszem lehet az ilyen rendszerekben.
A megszerzett hozzáféréssel a támadók több platformot is elértek, köztük a Zendesk ügyfélszolgálati rendszert, ahonnan állításuk szerint mintegy 8 millió ticketet töltöttek le. Ezek közül 6,8 millió egyedi e-mail-címet tartalmazott, de a csomag ennél jóval többet rejtett: felhasználóneveket, IP-címeket, hozzávetőleges földrajzi adatokat, valamint az ügyfélszolgálati beszélgetések teljes tartalmát is.
A legriasztóbb talán az, hogy bizonyos esetekben pénzügyi adatok is felbukkanhattak, bár a jelenlegi információk szerint ezek többsége csak részleges volt, és kizárólag akkor szerepelt, ha a felhasználók maguk osztották meg azokat a support ticketekben. A Crunchyroll hangsúlyozza, hogy jelenleg nincs bizonyíték arra, hogy a támadók továbbra is hozzáférnének a rendszerekhez, és az incidens valószínűleg egy harmadik félhez köthető.
A történet azonban itt nem ér véget. A támadók állítólag 5 millió dolláros váltságdíjat követeltek azért cserébe, hogy ne hozzák nyilvánosságra az adatokat, ám a cég nem reagált a zsarolásra. Az is kiderült, hogy a hozzáférést nagyjából 24 órán belül megszüntették, de ez bőven elég idő volt jelentős mennyiségű adat kimentésére.
A Crunchyroll esete jól példázza, miért számítanak kiemelt célpontnak a kiszervezett szolgáltatásokat nyújtó cégek. Egyetlen kompromittált fiók elegendő lehet ahhoz, hogy támadók több millió felhasználó adataihoz férjenek hozzá különböző vállalatok rendszerein keresztül, social engineering módszerekkel vagy belső hozzáférésekkel.
