Sony'nin sahip olduğu anime yayın hizmeti Crunchyroll, bilgisayar korsanlarının müşteri destek bileti verilerine erişim sağlamak için üçüncü taraf bir satıcıya sızmasının ardından veri ihlali yaşadı. İhlal, yaklaşık 6,8 milyon kullanıcıyla ilişkili bilgileri açığa çıkardı ve olayın boyutuna ilişkin devam eden bir soruşturmaya yol açtı.
BleepingComputer'ın haberine göre şirket, bir tehdit aktörünün verilere eriştiği ve verileri çıkardığı yönündeki iddiaları araştırdığını doğruladı.
International Cyber Digest'in X hakkında raporu:
“Çıtır çıtır [was] Hindistan'daki bir dış kaynak ortağı aracılığıyla ihlal edildi. Bir tehdit aktörü, Crunchyroll'un biletleme sisteminden veri sızdırdı ve ayrıca 100 GB'lık kişisel olarak tanımlanabilir müşteri analitiği verisi toplamayı başardı.”
Örnek veriler IP adreslerini, e-posta adreslerini, konumu ve destek bildirimi içeriklerini içerir.
Gönderide, “Dış kaynak kullanan ortakları Telus'un bir çalışanı, sistemlerinde kötü amaçlı yazılım çalıştırarak bir tehdit aktörünün Crunchyroll ortamına erişmesine olanak sağladı” denildi.
International Cyber Digest başka bir gönderide şunları ekledi: “Zendesk'lerinden dışa aktarılan JSON dosyası örneklerini analiz ettik. Müşteri destek konuşmalarını, kullanıcı profillerini ve yapılandırılmış alanlarda ve serbest metin metinlerinde önemli kişisel bilgileri bulduk.”
Üçüncü taraf uzlaşması CX'in zayıflığını ortaya çıkarıyor
İhlalin, Telus International adlı bir dış kaynak sağlayıcı tarafından istihdam edilen bir müşteri hizmetleri temsilcisinin ele geçirilmiş hesabından kaynaklandığı görülüyor.
Saldırganlar, 12 Mart saat 21.00'de (EST) BleepingComputer ile temasa geçerek şirketin destek temsilcilerinden birinin Okta tek oturum açma (SSO) hesabına erişim sağladıktan sonra Crunchyroll'u hacklediklerini iddia etti.
Saldırganların içeri girdikten sonra destek ve işbirliği araçları da dahil olmak üzere birden fazla dahili sisteme erişim sağladığı ve yaklaşık 6,8 milyon benzersiz e-posta adresiyle ilgili yaklaşık 8 milyon destek bileti kaydını indirdiği bildirildi.
Bazı raporlar ödeme verilerinin kamuya açık olduğunu öne sürse de analiz, finansal verilerin yalnızca kullanıcıların destek bildirimlerine manuel olarak girdiği durumlarda ortaya çıktığını ve bu verilerin genellikle kısmi olduğunu (son dört rakam gibi) gösteriyor.
Crunchyroll BleepingComputer'a şunları söyledi:
“Bu iddialarla ilgili sistemlere erişimin devam ettiğine dair hiçbir kanıt bulamadık.”
BleepingComputer ile paylaşılan ekran görüntüleri, saldırganların aralarında Zendesk, Wizer, MaestroQA, Mixpanel, Google Workspace Mail, Jiro Service Management ve Slack'in de bulunduğu çeşitli Crunchyroll uygulamalarına erişim elde ettiğini gösteriyor. BleepingComputer, destek biletlerindeki son kullanma tarihi ve son dört rakam gibi kredi kartı bilgilerinin açığa çıktığını doğruladı.
Dışa aktarılan Zendesk verileri soruna başka bir katman daha ekliyor: yapılandırılmış verileri yapılandırılmamış müşteri görüşmeleri ile birleştirmek.
Destek bildirim sistemleri genellikle operasyonel araçlar olarak düşünülür ancak temel profil verilerinin çok ötesine geçen büyük miktarlarda hassas bilgiler içerebilirler. Müşterilerin hassas bilgileri gönüllü olarak paylaşabilecekleri serbest metin alışverişlerini içerirler. International Cyber Digest raporu, açığa çıkan veri setinde her iki veri türünün de bulunduğunu ve olayın potansiyel etkisini artırdığını gösteriyor.
Saldırganlar yaklaşık 24 saat boyunca erişime sahip olduklarını ve bu süre zarfında verileri 2025 ortasına kadar sızdırdıklarını iddia etti. Ayrıca, verilerin kamuya açıklanmasını önlemek için 5 milyon dolarlık bir gasp talebinde bulundukları da bildirildi.
Bu olay, bir satıcının ekosistemi içindeki tehlikeye atılmış tek bir kimliğin ne kadar hızlı bir şekilde müşteri verilerinin yaygın şekilde açığa çıkmasına dönüşebileceğinin altını çiziyor. Çoğunlukla bağlam ve hassas açıklamalar açısından zengin olan müşteri etkileşimlerinin konuşma katmanı, büyüyen ve daha az kontrol edilen bir veri yüzeyini temsil eder.
BPO'lar tehdit aktörleri için değerli hedefler haline geliyor
Olay, birden fazla iş sistemine ayrıcalıklı erişimleri nedeniyle iş süreci dış kaynak kullanımı (BPO) sağlayıcılarına yönelik artan saldırı riskini vurguluyor.
Saldırganlar, kimlik bilgileri hırsızlığı, kötü amaçlı yazılım ve sosyal mühendislik yoluyla destek personelini giderek daha fazla hedef alıyor ve temel platformlara ve müşteri veri kümelerine erişmelerine olanak tanıyor.
Bu durum yapısal bir zorluğa işaret ediyor; dış kaynaklı müşteri operasyonları genellikle geleneksel güvenlik sınırlarının dışına çıkarken müşteri verilerine ve dahili araçlara derin erişim sağlanıyor.
İhlal, Crunchyroll'un veri uygulamalarına ilişkin devam eden yasal soruşturmayı da beraberinde getiriyor. Yakın zamanda açılan bir dava, şirketin kullanıcı verilerini ve tanımlayıcılarını yeterli izin olmadan üçüncü taraf pazarlama teknolojisiyle paylaştığını iddia ediyor.
Potansiyel bir ihlal ile gizlilik anlaşmazlıklarının birleşmesi, müşteri verilerinin kişiselleştirmeyi sağlamak için artan kullanımı ile artan şeffaflık ve kontrol beklentileri arasındaki gerilimi yansıtıyor.
Crunchyroll'un yanıtı soruşturma ve kontrol altına alma vurgusunu yaptı ve izinsiz erişimin devam ettiğine dair hiçbir kanıt bulunmadığını belirtti.
Ancak sosyal medya ve siber güvenlik kanallarında olayların çoğalması, müşteri algılarının resmi iletişim dışında ne kadar hızlı şekillenebileceğini gösteriyor.
Bir yanıt yazın