Crunchyroll Selidiki Kebocoran Data, Hacker Klaim Curi 6,8 Juta Data Pengguna

Platform streaming anime populer, Crunchyroll, saat ini tengah melakukan investigasi mendalam terkait insiden keamanan siber. Langkah ini diambil setelah seorang peretas mengklaim telah berhasil mencuri informasi pribadi milik sekitar 6,8 juta penggunanya.

“Kami menyadari adanya klaim baru-baru ini dan saat ini bekerja sama dengan para pakar keamanan siber terkemuka untuk menyelidiki masalah ini,” ungkap perwakilan Crunchyroll dalam pernyataan awalnya kepada BleepingComputer.

Dalam pernyataan lanjutan, perusahaan menambahkan bahwa investigasi masih terus berjalan. “Saat ini, kami meyakini bahwa informasi [yang terekspos] utamanya terbatas pada data tiket layanan pelanggan, menyusul adanya insiden yang melibatkan vendor pihak ketiga. Kami belum menemukan bukti adanya akses berkelanjutan ke dalam sistem terkait klaim ini, dan kami terus memantau situasi secara ketat.”

Eksploitasi Akun Vendor Pihak Ketiga (BPO)

Klaim peretasan ini mencuat setelah pelaku ancaman (threat actor) menghubungi media dan menyatakan telah berhasil membobol sistem Crunchyroll pada 12 Maret pukul 21:00 EST. Mereka menyusup melalui akun Single Sign-On (SSO) Okta milik salah satu agen dukungan (support agent) Crunchyroll.

Agen dukungan tersebut diduga merupakan karyawan dari Telus International, sebuah perusahaan penyedia layanan Business Process Outsourcing (BPO) yang menangani sistem tiket layanan pelanggan Crunchyroll. Peretas mengklaim telah menggunakan malware untuk menginfeksi komputer agen tersebut dan mencuri kredensial login-nya.

Berdasarkan tangkapan layar yang dibagikan oleh peretas, kredensial tersebut memberikan akses luas ke berbagai aplikasi internal yang digunakan Crunchyroll, di antaranya Zendesk, Wizer, MaestroQA, Mixpanel, Google Workspace Mail, Jira Service Management, hingga Slack.

Melalui celah akses tersebut, penyerang mengklaim berhasil mengunduh 8 juta rekam tiket dukungan dari sistem Zendesk Crunchyroll. Dari total catatan tiket tersebut, terdapat sekitar 6,8 juta alamat email unik milik pengguna.

Jenis Data yang Bocor dan Ancaman Pemerasan

Sampel tiket dukungan yang sempat ditunjukkan oleh peretas (yang kini telah dihapus) memuat berbagai informasi spesifik pengguna, meliputi:

• Nama lengkap pengguna dan nama login (username)
• Alamat email
• Alamat IP dan lokasi geografis secara umum
• Isi percakapan atau keluhan di dalam tiket dukungan

Meskipun beberapa laporan lain sempat mengkhawatirkan bocornya data kartu kredit, hasil penelusuran mengonfirmasi bahwa rincian finansial tersebut hanya terekspos jika pelanggan secara sukarela menuliskannya di dalam badan teks tiket dukungan. Menurut peretas, sebagian besar informasi itu pun hanya memuat detail dasar seperti empat digit terakhir atau tanggal kedaluwarsa kartu, dan sangat sedikit yang memuat nomor kartu kredit secara utuh.

Pelaku ancaman mengaku bahwa akses mereka telah diputus (revoked) setelah 24 jam, yang memungkinkan mereka mencuri data dengan rentang waktu hingga pertengahan tahun 2025. Peretas juga mengklaim telah mengirimkan email pemerasan kepada Crunchyroll dan menuntut tebusan sebesar USD 5 juta agar data tersebut tidak dibocorkan ke publik. Namun, mereka mengaku belum mendapat tanggapan apa pun. Insiden ini dipastikan tidak berkaitan dengan peretasan masif Telus Digital oleh geng pemeras ShinyHunters sebelumnya.

Target Bernilai Tinggi: Vendor BPO

Insiden ini kembali menjadi bukti betapa rentannya rantai pasokan dari vendor pihak ketiga. Perusahaan BPO telah menjadi target utama bernilai tinggi bagi penjahat siber dalam beberapa tahun terakhir karena perusahaan-perusahaan ini sering kali memegang kunci atas operasional dukungan pelanggan, sistem penagihan, hingga sistem autentikasi internal untuk banyak perusahaan global secara bersamaan.

Hanya dengan mengompromikan satu karyawan BPO saja, pelaku ancaman dapat memperoleh akses ke kumpulan data korporat dan privasi pelanggan yang luar biasa besar. Kasus peretasan pihak ketiga ini tidak hanya menimpa Crunchyroll, sebelumnya merek raksasa seperti Clorox, Marks & Spencer, dan platform Discord juga mengalami kebocoran masif setelah peretas mengeksploitasi staf vendor layanan pendukung (help desk) mereka.