Le service de streaming d’anime Crunchyroll a confirmé une violation de données impliquant des informations sur les tickets du service client à la suite d’un incident avec un fournisseur tiers, après qu’un pirate informatique a affirmé avoir accédé aux données des utilisateurs et aux systèmes internes.
Le site de streaming, que Sony a acquis auprès d’AT&T en 2020 pour 1,18 milliard de dollars, fonctionne comme une coentreprise entre la société américaine Sony Pictures Entertainment et la société japonaise Aniplex. Crunchyroll propose plus de 2 000 titres dans plus de 12 langues et compte 15 millions d’abonnés dans le monde, selon son site Internet.
Des informations selon lesquelles un acteur malveillant revendique l’accès aux données des utilisateurs de Crunchyroll ont fait surface en ligne cette semaine, un pirate informatique affirmant avoir obtenu des données sur des millions d’utilisateurs.
Crunchyroll a déclaré qu’il enquêtait sur ces allégations.
« Notre enquête est en cours et nous continuons de travailler avec les principaux experts en cybersécurité », a déclaré la société dans un communiqué à TechCrunch, ajoutant qu’elle n’avait identifié aucune preuve d’accès non autorisé en cours.
Par ailleurs, des documents partagés avec TechCrunch par un compte axé sur la cybersécurité, International Cyber Digest, indiquent que l’attaquant pourrait avoir eu accès au système d’assistance Zendesk de Crunchyroll. Les captures d’écran que nous avons vues semblent montrer les messages Slack internes de l’entreprise et les données d’assistance volées, apparemment volées par le piratage d’un employé de Telus Digital, un géant de l’externalisation qui gère le support client de Crunchyroll. Le pirate informatique aurait volé les données des tickets d’assistance client jusqu’au début de 2025, date à laquelle leur accès a été révoqué.
Le compte de cybersécurité a déclaré que le piratage était distinct d’une récente violation affectant Telus Digital, ce que la société a confirmé la semaine dernière.
Crunchyroll n’a pas répondu à une question complémentaire visant à savoir si le fournisseur tiers était lié à son partenaire d’assistance, Telus Digital.
Telus Digital n’a pas répondu aux demandes de commentaires.
Le pirate informatique a déclaré à BleepingComputer qu’il avait téléchargé environ huit millions d’enregistrements de tickets d’assistance à partir des systèmes Crunchyroll, dont environ 6,8 millions d’adresses e-mail uniques, bien que ces affirmations n’aient pas été vérifiées de manière indépendante. Le pirate informatique a également déclaré à la publication qu’il avait obtenu l’accès le 12 mars après avoir compromis un compte d’authentification unique Okta appartenant à un agent de support Crunchyroll.
