Crunchyroll, violato un fornitore: a rischio dati personali e carte di credito degli utenti

Un grave incidente informatico potrebbe aver esposto i dati personali di milioni di abbonati a Crunchyroll, la popolare piattaforma di streaming anime di proprietà Sony. Il data breach non ha colpito direttamente i sistemi di Crunchyroll ma quelli di Telus Digital, azienda canadese di outsourcing che gestisce servizi di assistenza clienti per conto di numerose grandi imprese, tra cui la stessa Crunchyroll.

Una serie di attacchi informatici ai danni di Telus Digital ha permesso a un gruppo di hacker di rubare 100 GB di dati appartenenti ai suoi clienti. Tra questi figura appunto Crunchyroll, alla quale potrebbero essere stati sottratti anche dati relativi ai pagamenti. Facciamo chiarezza sull’entità di questo incidente e come proteggersi.

L’attacco hacker e il gruppo responsabile

Il principale responsabile è il gruppo hacker ShinyHunters, che ha rivendicato l’attacco affermando di aver sottratto circa 1 petabyte di dati. Secondo le ricostruzioni di alcuni reporter, l’accesso sarebbe stato reso possibile grazie a credenziali di Google Cloud Platform rubate durante una precedente violazione ai danni di Salesloft nel 2025.

Un dipendente del partner di outsourcing avrebbe eseguito involontariamente un malware sul proprio sistema, consentendo ai criminali informatici di penetrare negli ambienti di alcuni clienti, tra i quali quelli di Crunchyroll. Al servizio di streaming sarebbero stati esfiltrati svariati GB di dati analitici sui clienti, tra cui indirizzi email, indirizzi IP e, secondo alcune fonti, anche dettagli di carte di credito.

ShinyHunters è un gruppo criminale con un lungo curriculum di attacchi ad alto profilo, ad esempio negli ultimi anni ha colpito colossi del calibro di LVMH, Qantas e Jaguar Land Rover.

Offerta

Apple AirPods Pro 3, ANC

Coupon: TUTTOA30 + sconto a carrello selezionando pagamento PayPal

195€ invece di 269€

-28%

AliExpress 🛒

La conferma di Telus Digital e il silenzio di Crunchyroll

Telus Digital ha confermato ufficialmente il breach il 16 marzo scorso e ha ammesso che l’indagine sulla natura e sull’entità dei dati potenzialmente compromessi è ancora in corso. Al momento Crunchyroll non ha rilasciato alcuna comunicazione ufficiale in merito.

Va ricordato che il GDPR europeo impone alle aziende di notificare le autorità competenti entro 72 ore dalla scoperta di una violazione, pena sanzioni fino a 10 milioni di euro o il 2% del fatturato globale. Crunchyroll potrebbe aver effettuato la notifica alle autorità senza aver emesso un comunicato pubblico.

Chi è più a rischio

Gli utenti che hanno effettuato il pagamento direttamente tramite il sito di Crunchyroll con carta di credito o debito sono potenzialmente i più esposti, nel caso in cui fossero state davvero sottratte anche le credenziali e i dettagli dei pagamenti. Chi invece ha sottoscritto l’abbonamento tramite altri canali, come PayPal, è al riparo da ogni eventuale compromissione, perché in questi casi Crunchyroll non ha mai avuto accesso diretto ai dati della carta.

Potrebbe essere solo una coincidenza, ma in questi ultimi giorni diversi utenti hanno segnalato accessi sospetti ai propri account da paesi come Bolivia, Cile, Etiopia e Turchia. La fonte fa sapere che c’è stato almeno un caso di tentativo di frode su carta di credito, anche se è difficile ricondurlo con certezza a questa specifica situazione.

Cosa fare per proteggersi

I consigli in questo caso sono quelli classici: cambiare immediatamente la password di Crunchyroll scegliendo una combinazione lunga e unica (magari affidatevi a servizi di generazione e gestione delle password come quello di Google, Apple o servizi terzi come 1Password, per citarne uno), monitorare gli estratti conto della carta usata per l’abbonamento e contattare la propria banca per segnalare il rischio e valutare il congelamento della carta attuale o l’emissione di una nuova carta.