La plateforme de streaming d’anime Crunchyroll est en train d’examiner une violation de données après que des hackers ont affirmé avoir volé les informations personnelles d’environ 6,8 millions d’utilisateurs.
Selon une déclaration de Crunchyroll, l’entreprise collabore étroitement avec des experts en cybersécurité pour faire toute la lumière sur cette affaire.
Cette déclaration fait suite à un contact d’un acteur malveillant avec BleepingComputer, affirmant avoir compromis les systèmes de Crunchyroll le 12 mars, à 21h EST, après avoir accédé au compte Okta SSO d’un agent de support.
Il est rapporté que cet agent travaille pour Telus International, une entreprise de sous-traitance qui gère les tickets de support de Crunchyroll. Les hackers affirment avoir utilisé un malware pour infecter l’ordinateur de l’agent et obtenir ses identifiants.
Des captures d’écran fournies à BleepingComputer montrent que ces identifiants offraient un accès à plusieurs applications de Crunchyroll, telles que Zendesk, Wizer, et Google Workspace Mail. Grâce à cet accès, les attaquants affirment avoir téléchargé 8 millions de dossiers de tickets de support, dont 6,8 millions d’adresses email uniques.
Les échantillons de tickets de support consultés par BleepingComputer contiennent des informations variées comme le nom de l’utilisateur, l’adresse email, l’adresse IP, et le contenu des requêtes d’assistance. Bien que d’autres sources aient mentionné que des informations de carte de crédit aient été exposées, il a été confirmé que ces détails étaient seulement visibles si le client les avait partagés dans un ticket. La plupart des informations comprenaient uniquement les quatre derniers chiffres ou les dates d’expiration, avec seulement quelques cas de numéros complets.
Il a également été noté que les tickets de support font tous référence à Telus, corroborant ainsi la revendication que l’accès avait été obtenu via un employé de BPO.
Les hackers affirment avoir vu leur accès révoqué après 24 heures, leur permettant de voler des données jusqu’en 2025. Ils auraient également envoyé des emails de rançon à Crunchyroll, exigeant 5 millions de dollars pour ne pas divulguer les données, mais sans obtenir de réponse.
Les BPO, cibles privilégiées
Les entreprises de sous-traitance sont devenues des cibles de choix pour les hackers, car elles gèrent souvent le support client, la facturation et les systèmes d’authentification interne pour de nombreuses entreprises.
Ces acteurs malveillants ont ainsi la capacité de compromettre un seul employé de BPO et d’accéder à de grandes quantités de données clients et d’entreprise.
Au cours de l’année passée, les hackers ont exploité les BPO en soudoyant des insiders, en manipulant le personnel de support pour obtenir un accès non autorisé, et en compromettant des comptes d’employés de BPO pour atteindre les systèmes internes.
Dans l’un des cas les plus notables, des attaquants se sont fait passer pour un employé et ont convaincu un agent de support de Cognizant de leur accorder accès à un compte d’employé de Clorox, permettant ainsi une violation du réseau de l’entreprise.
Des détaillants majeurs ont confirmé que des attaques de social engineering contre leur personnel avaient conduit à des incidents de ransomware et de vol de données. Par exemple, Marks & Spencer a témoigné d’une intrusion dans ses réseaux via des techniques de social engineering, tout comme Co-op, qui a annoncé un vol de données après une attaque de ransomware exploitant l’accès du personnel de support.
En réaction aux attaques ciblant M&S et Co-op, le gouvernement britannique a publié des recommandations concernant les attaques de social engineering visant les agents de support et les BPO.
Dans certains cas, les hackers ciblent les comptes des employés de BPO pour accéder aux données clients qu’ils gèrent.
En octobre, Discord a révélé une violation de données qui aurait exposé des informations de 5,5 millions d’utilisateurs uniques après la compromission de son système de support Zendesk.