Het populaire anime streamingplatform Crunchyroll onderzoekt een datalek nadat hackers hebben verklaard persoonlijke gegevens van ongeveer 6,8 miljoen gebruikers te hebben buitgemaakt. Volgens Crunchyroll wordt er nauw samengewerkt met vooraanstaande cybersecurity-experts om de situatie te onderzoeken.

De aanval vond plaats op 12 maart rond 21:00 uur EST, toen de aanvallers toegang kregen tot het Okta SSO-account van een supportmedewerker die werkzaam is bij Telus International, een bedrijf dat business process outsourcing (BPO) diensten levert aan Crunchyroll. De hackers gebruikten malware om de computer van deze medewerker te infecteren en zo aan de inloggegevens te komen. Met deze credentials kregen zij toegang tot diverse Crunchyroll-applicaties, waaronder Zendesk, Wizer, MaestroQA, Mixpanel, Google Workspace Mail, Jiro Service Management en Slack.

De aanvallers haalden naar eigen zeggen 8 miljoen supporttickets uit de Zendesk-omgeving van Crunchyroll, waarvan 6,8 miljoen unieke e-mailadressen betroffen. De gelekte tickets bevatten onder meer namen, inlognamen, e-mailadressen, IP-adressen, algemene geografische locaties en de inhoud van de supportvragen. Hoewel er berichten waren dat ook creditcardgegevens waren gelekt, bevestigt BleepingComputer dat dit alleen het geval was als klanten deze informatie zelf in hun supportticket hadden gedeeld. Meestal ging het om beperkte gegevens zoals de laatste vier cijfers of vervaldatums, en slechts enkele tickets bevatten volledige kaartnummers.

De supporttickets verwezen allemaal naar Telus, wat de bewering van de hackers ondersteunt dat zij een BPO-medewerker hebben gehackt. De toegang werd na 24 uur ingetrokken, maar de aanvallers zeggen data te hebben gestolen die teruggaat tot medio 2025. Er zouden afpersingsmails zijn gestuurd naar Crunchyroll met een eis van 5 miljoen dollar om publicatie van de data te voorkomen, waarop het bedrijf niet heeft gereageerd.

Hoewel de aanval gericht was op een Telus-medewerker, is deze niet gerelateerd aan de grote inbreuk bij Telus Digital door de ShinyHunters-extortiegroep. BPO-bedrijven zijn de laatste jaren vaker doelwit geworden omdat zij toegang hebben tot klantondersteuning, facturering en interne authenticatiesystemen van meerdere organisaties. Hierdoor kunnen aanvallers via één medewerker toegang krijgen tot grote hoeveelheden klant- en bedrijfsdata van verschillende bedrijven. Eerdere incidenten tonen aan dat aanvallers BPO-medewerkers benaderen via omkoping, social engineering of het compromitteren van accounts om zo interne systemen te bereiken.

In het Verenigd Koninkrijk heeft de overheid naar aanleiding van soortgelijke aanvallen op retailers zoals Marks & Spencer en Co-op richtlijnen uitgegeven om social engineering tegen helpdesks en BPO’s tegen te gaan.