HackerangriffeDatenschutzSchwachstellen

Crunchyroll bestätigt Datenleck: Kundendaten von 6,8 Millionen Nutzern gestohlen

Crunchyroll bestätigt Datenleck: Kundendaten von 6,8 Millionen Nutzern gestohlen
Zusammenfassung

Der Streaming-Dienst Crunchyroll ist Opfer einer Datenpanne geworden, bei der Hacker über eine kompromittierte Mitarbeiterin eines indischen Drittanbieters Zugang zu Kundenservicedaten erlangten. Der unbekannte Angreifer infizierte das Gerät der Telus-Mitarbeiterin mit Schadsoftware und soll rund 100 Gigabyte Daten aus dem Ticketing-System des Sony-Tochterunternehmens gestohlen haben, einschließlich Informationen zu etwa 6,8 Millionen Kunden. Die gestohlenen Daten enthalten E-Mail-Adressen, IP-Adressen und teilweise Kreditkartendaten aus etwa acht Millionen Support-Tickets. Obwohl der Täter eine fünf Millionen Dollar Zahlung forderte, lehnte Crunchyroll Verhandlungen ab. Das Incident zeigt ein wachsendes Sicherheitsrisiko: Hacker zielen zunehmend auf externe Service-Provider ab, um Zugang zu großen Plattformen zu erlangen – ein Muster, das sich bei Discord und anderen Unternehmen wiederholte. Für deutsche Nutzer und Unternehmen ist dies ein warnendes Beispiel dafür, wie Sicherheitslücken bei Drittanbietern zu Datenlecks führen können, und unterstreicht die Notwendigkeit strengerer Sicherheitsstandards bei der Auswahl und Überwachung von externen Dienstleistern.

Die Anime-Streaming-Plattform Crunchyroll, eine Tochtergesellschaft von Sony, hat nach intensiver Überprüfung bestätigt, dass ein Datenleck vom vergangenen Wochenende legitim ist. Ein unbekannter Angreifer hatte Anfang März Zugriff auf die Systeme des Unternehmens über einen Drittanbieter erlangt. Der Cyberkriminelle infizierte das Gerät eines Mitarbeiters von Telus, einem indischen Dienstleister für Crunchyroll, mit Malware und erlangte dadurch Zugang zu sensiblen Support-Ticket-Daten.

Nach Angaben des Hackers konnten etwa 8 Millionen Support-Tickets heruntergeladen werden, aus denen Informationen von 6,8 Millionen Nutzern stammen. Die gestohlenen Daten umfassen IP-Adressen, E-Mail-Adressen und in einigen Fällen auch Teile von Kreditkartendaten. Der Zugriff wurde zwar innerhalb von 24 Stunden nach dem Einbruch am 12. März gesperrt, aber der Schaden war bereits angerichtet.

Der Angreifer forderte fünf Millionen Dollar Lösegeld für die Vernichtung der Daten, erhielt von Crunchyroll aber keine Reaktion. Screenshots der erbeuteten Zugangsdaten zeigen Zugriffe auf Crunchyroll-Plattformen wie Slack, Zendesk und Google Workspace.

Crunchyroll, gegründet 2006, hat weltweit 17 Millionen zahlende Abonnenten und 120 Millionen registrierte Nutzer. Sony übernahm die Plattform 2021 für über 1,1 Milliarden Dollar von AT&T.

Dieser Sicherheitsvorfall ist kein Einzelfall. Hacker konzentrieren sich zunehmend auf Drittanbieter und Dienstleister, um an die Systeme großer Unternehmen zu gelangen. Discord musste 2023 einem Drittanbieter die Zugriffsberechtigung entziehen, nachdem dieser kompromittiert worden war. Der Reinigungsmittelhersteller Clorox verklagte sogar seinen IT-Dienstleister Cognizant wegen mangelhafter Sicherheitsmaßnahmen, die zu einem verheerenden Ransomware-Angriff beitrugen.

Die Crunchyroll-Affäre unterstreicht ein kritisches Sicherheitsmanagement-Problem: Große Konzerne sind nur so sicher wie ihre schwächsten Zulieferer. Nutzer sollten sich bewusst sein, welche Daten sie bei Online-Diensten hinterlassen und deren Sicherheitspraktiken kritisch hinterfragen.

Ähnliche Artikel