Abonelik tabanlı anime yayın hizmeti Crunchyroll, bilgisayar korsanlarının yaklaşık 6.8 milyon kişinin kişisel bilgilerini çaldığını iddia etmesinin ardından bir veri ihlalini araştırıyor.
Sony Group Corporation’a ait olan Crunchyroll, teknoloji uzmanı sitesi BleepingComputer’a yaptığı açıklamada: “Son iddiaların farkındayız ve şu anda konuyu araştırmak için önde gelen siber güvenlik uzmanlarıyla yakından çalışıyoruz” dedi.
Crunchyroll güvenlik açığı iddiaları için araştırma yapıyor
Açıklama, bir tehdit aktörünün BleepingComputer ile iletişime geçmesinin ve 12 Mart’ta, Doğu Zaman Dilimi’ne göre saat 21:00’de, Crunchyroll için çalışan bir destek temsilcisinin Okta SSO hesabına erişim sağladıktan sonra Crunchyroll’u ihlal ettiğini iddia etmesinin ardından geldi. BleepingComputer’a göre, destek temsilcisinin, Crunchyroll destek biletlerine erişimi olan bir iş süreçleri dış kaynak (BPO) şirketi olan Telus International’ın bir çalışanı olduğu bildiriliyor.
Saldırganlar, ajanın bilgisayarını kötü amaçlı yazılımla enfekte ederek kimlik bilgilerini çaldıklarını iddia ediyor. BleepingComputer ile paylaşılan ekran görüntülerine göre, bu bilgiler Zendesk, Google Workspace Mail, Jira Service Management ve Slack dahil olmak üzere çeşitli Crunchyroll uygulamalarına erişim sağladı.
Rapora göre, saldırganlar Crunchyroll’un Zendesk platformundan 8 milyon destek bileti kaydı çıkardıklarını ve bunların 6,8 milyonunun benzersiz e-posta adresleri olduğunu iddia ediyor. BleepingComputer tarafından görülen ve daha sonra silinen destek bileti örnekleri, Crunchyroll kullanıcısının adı, oturum açma adı, e-posta adresi, IP adresi ve genel coğrafi konumu da dahil olmak üzere çeşitli bilgiler içeriyor.
Crunchyroll’un Mart 2025 itibariyle 17 milyondan fazla ücretli üyesi bulunuyordu. BleepingComputer’ın belirttiğine göre, saldırganlar erişimlerinin 24 saat sonra iptal edildiğini ve bu süre zarfında 2025 yılının ortalarına kadar veri çalabildiklerini iddia ediyor. Ayrıca, çalınan verilerin kamuoyuna açıklanmasını engellemek için Crunchyroll’dan 5 milyon dolar talep eden şantaj e-postaları gönderdiklerini ancak şirketten hiçbir yanıt alamadıklarını iddia ediyorlar.
