Es ist die alte Geschichte von der Festung, deren Hintertür sperrangelweit offensteht, weil der Gärtner den Schlüssel im Schloss hat stecken lassen. Crunchyroll, die Anlaufstelle für Millionen Anime-Fans, muss derzeit einräumen, dass Kundendaten in die falschen Hände geraten sind. Wer jetzt allerdings an einen hochkomplexen Hackerangriff auf die Kernsysteme von Sony denkt, liegt daneben. Der Einbruch geschah dort, wo es oft am einfachsten ist: beim externen Kundensupport.
Konkret geht es um Support-Tickets. Ein Angreifer hat sich offenbar Zugriff auf das Zendesk-System verschafft, das Crunchyroll für die Kommunikation mit seinen Nutzern verwendet. Der Weg dorthin führte über den Outsourcing-Riesen Telus Digital. Dort soll ein einzelner Mitarbeiter-Account via Okta kompromittiert worden sein. Es ist fast schon ironisch, wie oft die Multi-Milliarden-Dollar-Infrastruktur moderner Konzerne an einem einzigen Single-Sign-On-Zugang eines externen Dienstleisters hängt.
Der Hacker behauptet, rund acht Millionen Datensätze kopiert zu haben. Darunter befinden sich knapp sieben Millionen eindeutige E-Mail-Adressen. Crunchyroll selbst gibt sich in der Kommunikation gewohnt schmallippig und spricht von einer laufenden Untersuchung mit "führenden Cybersicherheitsexperten". Dass interne Slack-Nachrichten und Screenshots aus dem Support-System bereits im Netz kursieren, macht die Sache für das Unternehmen nicht unbedingt glaubwürdiger.
Was bedeutet das für dich? Wenn du in der Vergangenheit den Support von Crunchyroll kontaktiert hast, stehen die Chancen gut, dass deine E-Mail-Adresse und der Inhalt deiner damaligen Anfrage nun Teil einer Datenbank sind, die in einschlägigen Foren gehandelt wird. Passwörter oder Zahlungsinformationen scheinen nach aktuellem Stand nicht direkt betroffen zu sein, da diese normalerweise nicht in Support-Tickets im Klartext auftauchen. Dennoch ist die Gefahr von gezieltem Phishing jetzt natürlich höher.
Es zeigt sich einmal mehr, dass die Sicherheit der eigenen Daten nicht an der eigenen Firewall endet. Man kann seinen eigenen Account noch so gut mit 2FA absichern - wenn der Support-Mitarbeiter am anderen Ende der Welt seinen Login verliert, wandern die Gesprächsprotokolle trotzdem ab. Es bleibt abzuwarten, ob Crunchyroll hier proaktiv auf alle betroffenen Nutzer zugeht oder ob man die Sache lieber diskret aussitzt.
Kommentare (0)