Fuite chez Crunchyroll
Le 24 mars 2026, le service de streaming d'animés Crunchyroll a confirmé une fuite de données liée à la compromission d'un prestataire de support tiers (Telus), exposant les données de tickets de support — noms, e-mails, adresses IP et données bancaires partielles — un pirate revendiquant ~8 M de tickets et ~6,8 M d'adresses e-mail uniques.
- Victime
- Crunchyroll
Le 24 mars 2026, Crunchyroll — la plateforme de streaming d'animés détenue par Sony — a confirmé une fuite de données touchant son service client. L'intrusion ne résulte pas d'une compromission directe des systèmes de Crunchyroll, mais d'une attaque par la chaîne d'approvisionnement : les pirates ont obtenu un accès via Telus Digital, le prestataire tiers qui gère le support client de Crunchyroll.
La compromission remonte au 12 mars 2026, lorsqu'un attaquant a piraté un compte d'authentification unique (SSO) Okta appartenant à un agent de support de Crunchyroll travaillant pour Telus — vraisemblablement via un e-mail de phishing et un logiciel malveillant installé sur le poste de l'agent. Avec cet accès, l'attaquant a atteint le système de support Zendesk de Crunchyroll et exfiltré les données des tickets de support avant que l'accès ne soit révoqué, environ 24 heures plus tard.
Les données dont la fuite est rapportée (issues des tickets de support) comprennent :
- Nom et prénom
- Adresses e-mail
- Adresses IP et localisation géographique approximative
- Contenu des tickets de support
- Données bancaires partielles (par ex. les quatre derniers chiffres, dates d'expiration), les numéros de carte complets n'apparaissant que dans de rares cas
L'auteur de l'attaque — rattaché dans la presse au groupe ShinyHunters — affirme avoir dérobé environ 100 Go de données, près de 8 millions de tickets de support et quelque 6,8 millions d'adresses e-mail uniques ; ces chiffres émanent du pirate et restent non vérifiés. Une demande de rançon rapportée à 5 millions de dollars serait restée sans réponse. Crunchyroll indique avoir coupé l'accès non autorisé, n'avoir relevé aucune preuve d'intrusion en cours et travailler avec des experts externes en cybersécurité ; une action collective (class action) a depuis été déposée aux États-Unis.
Sources
- tomsguide.frhttps://www.tomsguide.fr/piratage-de-crunchyroll-des-cartes-bancaires-de-clients-seraient-compromises/
- techcrunch.comhttps://techcrunch.com/2026/03/24/crunchyroll-confirms-data-breach-after-hacker-claims-unauthorized-access/
- upguard.comhttps://www.upguard.com/news/crunchyroll-data-breach-2026-04-07
- classaction.orghttps://www.classaction.org/news/crunchyroll-failed-to-prevent-march-2026-data-breach-class-action-lawsuit-alleges