Crunchyroll está investigando las afirmaciones de un atacante que asegura haber exfiltrado cerca de 8 millones de tickets de soporte con unos 6,8 millones de correos únicos. La compañía sostiene que, por ahora, cree que el alcance se limitaría principalmente a información de atención al cliente y dice no haber visto indicios de acceso persistente en curso.
Crunchyroll ha iniciado una investigación tras las afirmaciones de un actor de amenazas que asegura haber robado datos asociados a la plataforma, supuestamente mediante el acceso a sistemas de soporte y la exfiltración de un volumen masivo de registros. El atacante afirma haber descargado aproximadamente 8 millones de tickets de una instancia de Zendesk, y sostiene que en ese conjunto habría alrededor de 6,8 millones de direcciones de email únicas. La compañía ha reconocido que está al tanto de estas afirmaciones y que está trabajando con expertos para determinar qué ocurrió y cuál sería el impacto real.
El vector descrito por el atacante apunta a un escenario habitual en incidentes de este tipo: el compromiso de credenciales de un tercero con acceso a herramientas internas. En este caso, la intrusión se habría producido a través de una cuenta de Okta SSO perteneciente a un agente de soporte que trabajaría para un proveedor externo de tipo BPO, mencionado como Telus International. El atacante asegura que logró infectar el equipo del agente con malware para capturar credenciales y, desde ahí, acceder a diversas aplicaciones utilizadas en el flujo de soporte y operaciones, entre ellas Zendesk, además de otras herramientas citadas como MaestroQA, Mixpanel, Google Workspace Mail, Jira Service Management y Slack.
En muestras de tickets revisadas, aparecerían datos como nombre, login, email, dirección IP, una ubicación geográfica aproximada y, especialmente relevante, el propio contenido del ticket, que en algunos casos puede incluir información sensible aportada por el usuario al solicitar ayuda. En cuanto a datos de pago, se recoge que normalmente solo estarían presentes si el propio cliente los incluyó en el texto del ticket; el atacante habría afirmado que en la mayoría de casos se trataría de información parcial (por ejemplo, últimos cuatro dígitos o fecha de caducidad) y que habría pocos casos con números completos.
De acuerdo con la narración del atacante, el acceso habría sido revocado en torno a 24 horas después. También afirma haber intentado una extorsión por 5 millones de dólares para evitar la publicación, sin obtener respuesta. Por su parte, Crunchyroll ha señalado que, en relación con estas afirmaciones, no ha identificado evidencias de un acceso continuo a sus sistemas, y que por el momento sugiere que el alcance se concentraría en datos de tickets de soporte derivados de un incidente en un proveedor externo.
Aunque la investigación sigue abierta, el caso subraya el riesgo recurrente asociado a mesas de ayuda y proveedores BPO: suelen disponer de accesos amplios para resolver incidencias con rapidez, lo que los convierte en objetivos atractivos para campañas de robo de credenciales, phishing y malware orientado a capturar sesiones de SSO. Para los usuarios, el impacto más probable, si se confirma la exposición de emails y contenido de tickets, sería un aumento de intentos de phishing o suplantación apoyados en detalles creíbles extraídos de conversaciones reales con soporte. Como medida prudente, conviene extremar la cautela ante mensajes que se hagan pasar por Crunchyroll o por su soporte, no compartir códigos de 2FA/MFA, y evitar reutilizar contraseñas en distintos servicios.
Más información
- BleepingComputer: https://www.bleepingcomputer.com/news/security/crunchyroll-probes-breach-after-hacker-claims-to-steal-68m-users-data/
Deja una respuesta