Skip to content

Fuite chez Crunchyroll

Le 24 mars 2026, le service de streaming d'animés Crunchyroll a confirmé une fuite de données liée à la compromission d'un prestataire de support tiers (Telus), exposant les données de tickets de support — noms, e-mails, adresses IP et données bancaires partielles — un pirate revendiquant ~8 M de tickets et ~6,8 M d'adresses e-mail uniques.

Victime
Crunchyroll

Le 24 mars 2026, Crunchyroll — la plateforme de streaming d'animés détenue par Sony — a confirmé une fuite de données touchant son service client. L'intrusion ne résulte pas d'une compromission directe des systèmes de Crunchyroll, mais d'une attaque par la chaîne d'approvisionnement : les pirates ont obtenu un accès via Telus Digital, le prestataire tiers qui gère le support client de Crunchyroll.

La compromission remonte au 12 mars 2026, lorsqu'un attaquant a piraté un compte d'authentification unique (SSO) Okta appartenant à un agent de support de Crunchyroll travaillant pour Telus — vraisemblablement via un e-mail de phishing et un logiciel malveillant installé sur le poste de l'agent. Avec cet accès, l'attaquant a atteint le système de support Zendesk de Crunchyroll et exfiltré les données des tickets de support avant que l'accès ne soit révoqué, environ 24 heures plus tard.

Les données dont la fuite est rapportée (issues des tickets de support) comprennent :

  • Nom et prénom
  • Adresses e-mail
  • Adresses IP et localisation géographique approximative
  • Contenu des tickets de support
  • Données bancaires partielles (par ex. les quatre derniers chiffres, dates d'expiration), les numéros de carte complets n'apparaissant que dans de rares cas

L'auteur de l'attaque — rattaché dans la presse au groupe ShinyHunters — affirme avoir dérobé environ 100 Go de données, près de 8 millions de tickets de support et quelque 6,8 millions d'adresses e-mail uniques ; ces chiffres émanent du pirate et restent non vérifiés. Une demande de rançon rapportée à 5 millions de dollars serait restée sans réponse. Crunchyroll indique avoir coupé l'accès non autorisé, n'avoir relevé aucune preuve d'intrusion en cours et travailler avec des experts externes en cybersécurité ; une action collective (class action) a depuis été déposée aux États-Unis.

Sources

  1. tomsguide.frhttps://www.tomsguide.fr/piratage-de-crunchyroll-des-cartes-bancaires-de-clients-seraient-compromises/
  2. techcrunch.comhttps://techcrunch.com/2026/03/24/crunchyroll-confirms-data-breach-after-hacker-claims-unauthorized-access/
  3. upguard.comhttps://www.upguard.com/news/crunchyroll-data-breach-2026-04-07
  4. classaction.orghttps://www.classaction.org/news/crunchyroll-failed-to-prevent-march-2026-data-breach-class-action-lawsuit-alleges

Incidents liés

Chaîne d’approvisionnementEn cours

Fuite chez PornHub

Le 16 décembre 2025, la plateforme de contenu pour adultes Pornhub a révélé le vol de données analytiques historiques de certains abonnés Premium — adresses e-mail et historique de recherche/visionnage — via le prestataire tiers Mixpanel ; ShinyHunters revendique ~200 millions d'enregistrements et réclame une rançon.

Victim
PornHub
Chaîne d’approvisionnementContenu

Fuite chez Le Point

Le 18 novembre 2024, l'hebdomadaire Le Point a révélé une fuite imputée à un sous-traitant de gestion des abonnés compromis, exposant les noms, adresses postales et e-mail ainsi que les numéros de téléphone d'environ 900 000 lecteurs actuels et anciens.

Victim
Le Point
Chaîne d’approvisionnementContenu

Fuite chez Alan (via Almerys)

Le 23 mai 2026, l'assureur santé numérique français Alan a alerté ses adhérents qu'une cyberattaque visant son prestataire de tiers-payant Almerys avait exposé leurs données personnelles — état civil, date de naissance, numéro de Sécurité sociale et informations de contrat — sans toucher aux données de paiement, mots de passe ni données de santé.

Victim
Alan