Un'operazione criminale di vaste proporzioni ha messo a rischio la sicurezza dei dati di milioni di utenti iscritti a Crunchyroll, il servizio di streaming anime controllato da Sony. L'attacco non ha colpito direttamente i server della piattaforma, bensì quelli di Telus Digital, società canadese specializzata nell'outsourcing di servizi di assistenza al cliente, che fornisce supporto a numerose multinazionali, inclusa Crunchyroll. Secondo le ricostruzioni disponibili, il gruppo di hacker ShinyHunters avrebbe sottratto circa 1 petabyte di dati complessivi dai sistemi di Telus Digital.
L'accesso alle infrastrutture vulnerabili sarebbe stato possibile grazie al furto di credenziali della Google Cloud Platform, compromesse in un precedente attacco ai danni di Salesloft nel 2025. Un componente dello staff di Telus Digital avrebbe involontariamente installato un malware sul proprio computer di lavoro, aprendo così un varco che i criminali hanno sfruttato per infiltrarsi negli ambienti dedicati ai clienti della società. Dall'account Crunchyroll sarebbero stati esfiltrati diversi gigabyte di informazioni analitiche relative alla base utenti, comprendenti indirizzi di posta elettronica, indirizzi IP e, secondo alcune indiscrezioni, anche dati bancari e di carte di credito.
ShinyHunters non è un gruppo sconosciuto nel panorama della criminalità informatica: il suo storico include attacchi clamorosi contro realtà del calibro di LVMH, Qantas e Jaguar Land Rover. Telus Digital ha reso pubblica la scoperta della violazione il 16 marzo scorso, confessando che le indagini per stabilire l'esatta portata e natura del materiale rubato sono ancora in corso. Crunchyroll finora non ha rilasciato dichiarazioni ufficiali sull'accaduto, sebbene la normativa europea GDPR obblighi le aziende a informare le autorità competenti entro 72 ore dal rilevamento di una violazione, pena multa fino a 10 milioni di euro o il 2% del fatturato globale annuale.
Il livello di rischio varia a seconda della modalità di pagamento utilizzata dagli abbonati. Coloro che hanno sottoscritto l'abbonamento inserendo direttamente le credenziali bancarie sul portale Crunchyroll risultano i più esposti in caso di effettivo furto di dati di pagamento. Gli utenti che invece hanno scelto canali alternativi come PayPal o altre piattaforme di pagamento terze godono di maggiore protezione, poiché Crunchyroll non conserva i dettagli specifici delle loro carte di credito. Negli ultimi giorni diversi utenti hanno segnalato accessi anomali ai propri account, un possibile sintomo del coinvolgimento dei dati personali nella violazione.
