Informan que Crunchyroll sufrió un hackeo y filtraron cerca de 100GB de datos

La plataforma de streaming de anime Crunchyroll, propiedad de Sony, es noticia tras reportes de una masiva filtración de seguridad que habría expuesto aproximadamente 100GB de información de sus usuarios. El incidente, ocurrido presuntamente el 12 de marzo, no se originó en los servidores directos de la empresa, sino a través de un socio externo de subcontratación de procesos de negocio con sede en Vancouver llamado Telus. La brecha fue detectada y neutralizada en un lapso de 24 horas.

El método de intrusión habría sido un ataque de malware ejecutado en la estación de trabajo de un empleado de Telus, lo que permitió a los atacantes moverse lateralmente hasta alcanzar los sistemas internos de Crunchyroll. Según la información proporcionada al boletín Cyber Digest, los datos comprometidos provienen de las herramientas de soporte y sistemas de análisis de la plataforma. Entre el botín digital se encuentran direcciones IP, correos electrónicos, datos analíticos de clientes e incluso detalles de tarjetas de crédito.

Detrás de este asalto se encuentra el grupo cibercriminal ShinyHunters, una organización activa desde 2020 con un historial de ataques a gran escala contra empresas globales como Microsoft y diversas operadoras de telecomunicaciones. Recientemente, este grupo ha ganado notoriedad por emplear campañas de vishing (phishing por voz) para robar credenciales de acceso. En el caso de Telus, los atacantes afirmaron haber robado una cantidad masiva de datos internos.

Si se confirma que la brecha es legítima, la exposición de datos aumenta los riesgos de fraude financiero, robo de identidad y ataques de ingeniería social para las personas afectadas. Esta situación resulta especialmente delicada para la marca, ya que el reporte surge poco después de que la compañía enfrentara acciones legales por compartir hábitos de visualización de sus usuarios con terceros sin el consentimiento debido.

Hasta el momento, Crunchyroll ha mantenido un hermetismo total y no ha emitido comunicados oficiales confirmando o desmintiendo la magnitud del hackeo.