Crunchyroll aurait été ciblé par un piratage de grande ampleur, compromettant jusqu’à 100 Go de données de clients dont des informations bancaires et des adresses emails. Le géant de l’anime enquête sur cette fuite qui aurait été facilitée par la négligence d’un prestataire.
Crunchyroll, qui vient d’augmenter ses prix, serait au cœur d’un piratage massif. D’après plusieurs sources spécialisées, jusqu’à 100 Go de données de clients auraient été interceptées par un individu malveillant. Parmi les informations compromises, les experts évoquent des adresses email, des adresses IP et, plus préoccupant encore, des informations de cartes bancaires. “Nous sommes au courant des récentes allégations et collaborons étroitement avec des experts en cybersécurité de premier plan pour enquêter sur la question”, a réagi Crunchyroll
C’est le compte International Cyber Digest qui affirme avoir été contacté par le pirate ; ce dernier lui aurait fourni des captures d’écran en guise de preuves. “Nous avons analysé des échantillons de données, qui comprennent des adresses IP, des adresses e-mail, des informations de cartes de crédit, et plus encore”, retrace le compte de veille sur X.
Un employé de Telus, prestataire de services externalisés de Crunchyroll, aurait exécuté un malware sur son poste de travail. Ce qui aurait permis à l’attaquant, appartenant possiblement au groupe ShinyHunters, de s’engouffrer dans la brèche.
Crunchyroll : le géant de l’anime victime d’un piratage massif
Selon le pirate, la faille remonterait au 12 mars, soit le même jour où un utilisateur publiait sur un forum un message évoquant la fuite de données Crunchyroll. Une information confirmée par l’entreprise de cybersécurité SOCRadar, qui a repéré ce post. Des adresses e-mail et IP partiellement masquées y étaient présentées comme des échantillons, signe que des données liées à la plateforme circulaient déjà dans des cercles malveillants.
Selon BleepingComputer, si des informations de carte bancaire ont bien été exposées, il s’agirait principalement de données que les utilisateurs avaient eux-mêmes partagées dans leurs tickets d’assistance, comme les quatre derniers chiffres ou la date d’expiration. Seuls de rares cas incluraient des numéros de carte complets.
Par ailleurs, l’attaquant affirme que son accès a été révoqué au bout de 24 heures, une fenêtre qui lui aurait néanmoins suffi pour exfiltrer des données remontant jusqu’à mi-2025. Il assure également avoir réclamé 5 millions de dollars à Crunchyroll en échange de la non-divulgation des données volées — sans jamais obtenir de réponse de la plateforme.
Si l a fuite est confirmée, les utilisateurs sont sous la menace de campagnes de phishing ciblées, de vols d’identité et de fraudes bancaires. Il faut donc redoubler de vigilance.
