Crunchyroll, il noto servizio di streaming anime, ha confermato una violazione dei dati che ha interessato le informazioni relative ai ticket del servizio clienti. L'annuncio segue le affermazioni di un hacker che sosteneva di aver avuto accesso a sistemi interni e a dati degli utenti. La società ha specificato che l'incidente è legato a un fornitore terzo e che, al momento, non sono state riscontrate evidenze di accessi non autorizzati in corso ai propri sistemi principali.

La conferma ufficiale e le indagini in corso

Il 24 marzo 2026, Crunchyroll ha riconosciuto ufficialmente la violazione, dichiarando che le indagini sono in corso e che sta collaborando attivamente con esperti di cybersecurity.

La compagnia ha ribadito che i dati compromessi derivano da un incidente che ha coinvolto un vendor esterno, escludendo accessi diretti ai propri sistemi core.

Il fornitore interessato è stato identificato come Telus Digital, partner responsabile della gestione del supporto clienti della piattaforma. L'attaccante avrebbe sfruttato le credenziali di un agente per infiltrarsi nel sistema di ticketing Zendesk, riuscendo a sottrarre dati fino all'inizio del 2025. L'accesso non autorizzato è stato prontamente revocato.

Entità e tipologia dei dati sottratti

Sono stati scaricati circa otto milioni di record di ticket di supporto. Tra questi, si contano circa 6,8 milioni di indirizzi email univoci. Le informazioni esfiltrate includono dati personali quali nome, indirizzo email, indirizzo IP, localizzazione geografica e il contenuto specifico delle richieste di supporto inviate dagli utenti.

È stato chiarito che le informazioni sensibili, come i dati di pagamento, sarebbero state esposte solo nel caso in cui gli utenti le avessero inserite direttamente e volontariamente all'interno dei ticket di assistenza. Questo riduce, in parte, il rischio legato a transazioni finanziarie dirette.

Richiesta di riscatto e cronologia dell'attacco

L'hacker ha avanzato una richiesta di estorsione di 5 milioni di dollari, minacciando la pubblicazione dei dati sottratti qualora la somma non fosse stata pagata. L'accesso non autorizzato ai sistemi è durato meno di 24 ore: è iniziato il 12 marzo alle 21:00 EST ed è stato revocato entro il giorno successivo.

Nonostante la breve finestra temporale dell'accesso, i dati esfiltrati coprono un periodo esteso, arrivando fino a metà 2025.

Questo suggerisce una capacità dell'attaccante di accedere retroattivamente ai sistemi di archiviazione dei ticket.

Rischi per gli utenti e implicazioni legali

La violazione espone gli utenti a significativi rischi di phishing, furto d’identità e frodi, data l'ampia disponibilità di dati personali. Sebbene le informazioni finanziarie siano state esposte in misura limitata o solo se inserite volontariamente, l'incidente potrebbe avere serie implicazioni legali, specialmente per i residenti europei, in virtù delle normative del GDPR.

La vulnerabilità della supply chain e le contromisure

Questo episodio evidenzia ancora una volta la crescente vulnerabilità rappresentata dai partner terzi nella complessa catena di fornitura tecnologica.

La compromissione di un singolo account può infatti facilitare l'accesso a sistemi critici, sottolineando l'urgente necessità di adottare strategie di sicurezza avanzate.

Tra le misure preventive e difensive, si annoverano l'implementazione del modello Zero Trust, la segmentazione rigorosa della rete e un monitoraggio continuo delle attività. Queste pratiche sono fondamentali per mitigare i rischi derivanti da attacchi alla supply chain.

In conclusione, Crunchyroll è impegnata a completare le indagini, a valutare l'effettiva entità della compromissione e ad adottare tutte le misure necessarie per tutelare i propri utenti. Nel frattempo, si consiglia a chiunque abbia interagito con il servizio di supporto di monitorare attentamente eventuali attività sospette legate ai propri dati personali o alle carte di credito utilizzate in contesti di assistenza.