Suite à la récente fuite de données, Crunchyroll alerte directement ses utilisateurs depuis l’application sur les tentatives de phishing qui pèsent sur eux. Et de rappeler que la plateforme ne demandera jamais de leur transmettre des informations personnelles par e-mail ou SMS.
Si vous avez lancé Crunchyroll ces derniers jours, vous avez probablement été confronté à un avertissement inquiétant sur des tentatives de phishing en cours : “Soyez vigilant face aux tentatives d’hameçonnage. Crunchyroll ne vous demandera jamais d’informations personnelles par e-mail ou SMS. Si vous recevez une telle demande, elle ne provient pas de nous. Ne cliquez sur aucun lien et ne divulguez aucune information”, indique le message.
Si ce type de rappel est envoyé régulièrement par email, le fait qu’il surgisse directement dans l’application ne doit rien au hasard. Il y a quelques jours, nous vous relations la survenue d’un piratage massif de la plateforme d’animes. Un cybercriminel se serait introduit dans les systèmes de Crunchyroll en exploitant la négligence d’un prestataire. Il aurait alors exfiltré un gros paquet de données contenues dans des tickets de support (noms, emails, identifiants de connexion, adresses IP, localisations géographiques approximatives, informations bancaires partielles, échanges avec le service client).
Une manne pour les malfrats qui peuvent exploiter ces informations pour réaliser des campagnes de hameçonnage ciblées sur les utilisateurs de Crunchyroll. D’où les mises en garde de ces derniers jours :
Les utilisateurs de Crunchyroll davantage exposés aux campagnes malveillantes de phishing après la fuite de données
Confirmant l’existence de la brèche, le service de diffusion d’animes avait assuré que l’enquête suivait son cours. “À ce stade, nous pensons que les informations se limitent principalement aux données des tickets d’assistance client suite à un incident impliquant un fournisseur tiers”, expliquait la plateforme, assurant ne pas avoir trouvé de “preuves d’accès continu aux systèmes en lien avec ces allégations”.
Alors que le service aurait refusé de payer la rançon réclamée par le cybercriminel, ce dernier serait passé à la phase suivante. Sur les 2 millions de profils client exposés lors de la fuite, 1,2 million auraient été achetés par un unique acheteur anonyme, rapporte International Cyber Digest. Le compte X de veille affirme avoir pu se procurer le lot d’adresses email compromises auprès d’un informateur connu sous le pseudonyme de “Mr. Raccoon”.
Et de transmettre le tout au site Have I Been Pwned, service gratuit permettant aux internautes de vérifier la compromission de leurs données personnelles. “1,2 million d’adresses e-mail uniques attribuées à l’incident ont été fournies à HIBP”, confirme la plateforme. Celle-ci précise que 82 % des adresses se trouvaient déjà dans sa base de données, signe que de nombreux abonnés réutilisent des identifiants déjà exposés ailleurs.
Si vos données ont été compromises, restez particulièrement vigilant face aux emails ou SMS se présentant comme des communications officielles de Crunchyroll. Il pourrait s’agir de campagnes d’hameçonnage exploitant les informations contenues dans vos tickets de support pour paraître crédibles.
