Ένας ηθοποιός απειλής φέρεται να έχει διηθήσει περίπου 100 GB προσωπικών πληροφοριών (PII) από την Crunchyroll, τον γίγαντα ροής anime που ανήκει στη Sony, αφού απέκτησε πρόσβαση μέσω ενός παραβιασμένου υπαλλήλου στον συνεργάτη εξωτερικής ανάθεσης της πλατφόρμας, Telus.
Η παραβίαση, η οποία φέρεται να συνέβη στις 12 Μαρτίου 2026, δεν έχει αναγνωριστεί δημόσια από την Crunchyroll μέχρι τη στιγμή που γράφεται αυτό το άρθρο.
Σύμφωνα με τον ηθοποιό απειλών, ο οποίος επικοινώνησε με το Cyber Digest, η εισβολή κατέστη δυνατή αφού ένας υπάλληλος στον συνεργάτη επιχειρηματικής διαδικασίας εξωτερικής ανάθεσης (BPO) της Telus Crunchyroll εκτέλεσε κακόβουλο λογισμικό στο σταθμό εργασίας τους.
Αυτή η μόλυνση παρείχε στον εισβολέα μια βάση στο εσωτερικό περιβάλλον του Crunchyroll, επιτρέποντας την πλευρική μετακίνηση σε ευαίσθητα συστήματα που αντιμετωπίζουν πελάτες, συμπεριλαμβανομένης της υποδομής έκδοσης εισιτηρίων της εταιρείας.
Αυτό το διάνυσμα επίθεσης ευθυγραμμίζεται με ένα ευρύτερο μοτίβο που παρατηρήθηκε στο περιστατικό της Telus Digital που επιβεβαιώθηκε στις 12 Μαρτίου 2026, στο οποίο οι παράγοντες απειλών ισχυρίστηκαν ότι είχαν κλέψει δεδομένα από την Telus και πολλές εταιρείες που βασίζονται στην εταιρεία για υπηρεσίες BPO, όπως υποστήριξη πελατών, λειτουργίες δεδομένων τεχνητής νοημοσύνης και εποπτεία περιεχομένου.
Επειδή οι πάροχοι BPO χειρίζονται εργαλεία ελέγχου ταυτότητας και χρέωσης σε περιβάλλοντα πολλαπλών πελατών, παραμένουν ελκυστικοί στόχοι υψηλής αξίας για τους φορείς απειλών που επιδιώκουν να μεγιστοποιήσουν το εύρος της παραβίασης μέσω μιας μόνο εισβολής.
Εξαγωγή δεδομένων από επιτιθέμενους
Το Cyber Digest ανέλυσε ένα δείγμα των δεδομένων που παρείχε ο παράγοντας απειλών, τα οποία περιείχαν εξαιρετικά ευαίσθητες κατηγορίες πληροφοριών πελατών, όπως:
- διευθύνσεις IP
- Διευθύνσεις email
- Στοιχεία πιστωτικής κάρτας
- Δεδομένα αναλυτικών στοιχείων πελατών (PII)
Ο ηθοποιός της απειλής ισχυρίζεται ότι συνολικά 100 GB δεδομένων αντλήθηκαν από το περιβάλλον ανάλυσης πελατών και το σύστημα έκδοσης εισιτηρίων της Crunchyroll. Η φύση των εκτεθειμένων δεδομένων ενέχει σημαντικούς κινδύνους κλοπής ταυτότητας, οικονομικής απάτης και στοχευμένων εκστρατειών ηλεκτρονικού ψαρέματος για τους συνδρομητές που επηρεάζονται.
Ο ηθοποιός της απειλής δήλωσε ότι η Crunchyroll εντόπισε και ανακάλεσε την πρόσβασή τους περίπου 24 ώρες μετά την αρχική παραβίαση στις 12 Μαρτίου 2026. Παρά το σχετικά σύντομο παράθυρο πρόσβασης, ο όγκος των δεδομένων που διείσδυσε υποδηλώνει ότι ο εισβολέας είχε προσχεδιάσει την επιχείρηση και κινήθηκε γρήγορα όταν μπήκε μέσα.
Ίσως το πιο ανησυχητικό είναι ότι ο ηθοποιός των απειλών είπε στο Cyber Digest ότι η Crunchyroll συνέχισε να αγνοεί όλες τις επικοινωνίες σχετικά με το περιστατικό και δεν έχει κάνει καμία δημόσια αποκάλυψη σε πελάτες που επηρεάζονται.
Αυτή η σιωπή είναι ιδιαίτερα ανησυχητική δεδομένου ότι το Crunchyroll είχε ήδη υποβληθεί σε ομαδική αγωγή στις αρχές του 2026 για εικαζόμενη μη εξουσιοδοτημένη κοινή χρήση δεδομένων προβολής χρηστών με πλατφόρμες μάρκετινγκ τρίτων.
Το Crunchyroll δεν έχει απαντήσει σε αιτήματα για σχολιασμό τη στιγμή της δημοσίευσης. Το Cyber Security News θα συνεχίσει να παρακολουθεί αυτήν την αναπτυσσόμενη ιστορία.
