Az adatszivárgás részletei
A támadók kártékony programmal szerezték meg az érintett ügyfélszolgálati munkatárs bejelentkezési adatait, ezután összesen 8 millió, a Crunchyroll Zendesk rendszerében tárolt ügyfélszolgálati jegyet töltöttek le. Az adathalmazban hozzávetőlegesen 6,8 millió egyedi e-mail-cím szerepel, továbbá felhasználónevek, IP-címek, földrajzi helyadatok és az ügyfélszolgálati jegyekben közölt információk is az adatszivárgás részét képezték.
A kérdés azonban korántsem ilyen egyszerű, ugyanis néhány jelentés szerint bankkártya-adatok is veszélybe kerültek. Ez azonban csak azon esetekre igaz, amikor a felhasználók maguk osztották meg ezeket az adatokat a támogatási jegyekben – legtöbbször csak a kártyák utolsó négy számjegyéről vagy lejárati dátumáról volt szó, ritka esetekben teljes kártyaszámokról.
Zsarolás és válaszlépések
A támadók állítása szerint 24 órán keresztül fértek hozzá a rendszerekhez, majd visszavonták a hozzáférésüket, így akár a 2025 közepéig terjedő időszak adataihoz is hozzájuthattak. Ezt követően zsaroló e-mailt küldtek a Crunchyrollnak, 1,8 milliárd forintot (5 millió USD) követelve az adatok titokban tartásáért, azonban választ nem kaptak.
Következésképpen komoly veszélybe került a Crunchyroll ügyfeleinek bizalmas adatai. A támadás hátterében nem a hírhedt ShinyHunters-csoport áll, ám a hasonló bűncselekmények rávilágítanak arra, mennyire sérülékenyek az ügyfélszolgálatot és üzleti folyamatokat kiszervező vállalatok. Gyakran már egyetlen dolgozó kompromittálásával is hatalmas mennyiségű adathoz lehet hozzáférni, ami nemcsak az anime-rajongók, hanem rengeteg más vállalat és fogyasztó számára jelent valós veszélyt.
