O caso começou a ganhar contornos preocupantes em meados de março, mas só agora se percebe a dimensão real do estrago. A Crunchyroll, a maior plataforma de streaming de anime do mundo, propriedade da Sony, confirmou uma violação de dados que terá comprometido informações de cerca de 6,8 milhões de utilizadores, depois de um atacante ter penetrado nos seus sistemas através de um parceiro externo de suporte técnico.
Segundo a TechCrunch, o incidente terá ocorrido a 12 de março, quando um agente malicioso conseguiu aceder à conta Okta de um funcionário da Telus International, empresa de externalização de processos de negócio que gere o suporte ao cliente da plataforma, com operações na Índia. A partir daí, o atacante moveu-se lateralmente pelos sistemas internos até chegar ao sistema de tickets Zendesk da Crunchyroll, de onde extraiu cerca de oito milhões de registos de suporte antes de ser detetado e de lhe ser cortado o acesso, aproximadamente 24 horas após a entrada.
Os dados expostos incluem nomes de utilizadores, endereços de e-mail, nomes de login, endereços IP, localização geográfica aproximada e o conteúdo integral das conversas de suporte técnico. Embora alguns relatórios tenham referido a exposição de dados de cartões de crédito, essa situação ocorreu apenas nos casos em que os próprios utilizadores incluíram essa informação nas mensagens de suporte e, na maioria dos casos, limitava-se aos últimos quatro dígitos ou à data de validade.
O atacante terá exigido cinco milhões de dólares à empresa para não tornar os dados públicos. A Crunchyroll não respondeu à exigência. Parte desses registos terá entretanto chegado ao mercado negro, o serviço Have I Been Pwned já incorporou um subconjunto de 1,2 milhões de endereços de e-mail provenientes de um conjunto alegadamente comprado que inclui cerca de dois milhões de registos, o que permite aos utilizadores verificar se foram afetados.
🚨‼️ BREAKING: The Crunchyroll breach data, leaked via an Indian outsourcing partner, has been sold.
1.2 million of 2 million customer records were purchased by a single buyer.
We’ve obtained the 1.2 million emails from Mr. Raccoon and will be sharing them with HaveIBeenPwned. pic.twitter.com/DjOYUyW6xe
— International Cyber Digest (@IntCyberDigest) April 3, 2026
Este ataque enquadra-se num padrão crescente de intrusões que exploram empresas de externalização como porta de entrada para alvos de maior dimensão. Em vez de tentar comprometer diretamente a infraestrutura de uma empresa como a Sony, basta visar um parceiro com acesso privilegiado e, frequentemente, com segurança menos robusta. A Telus Digital, que confirmou separadamente ter sofrido uma violação nessa mesma data em que alegadamente lhe foram roubados quase um petabyte de dados, gere serviços de suporte ao cliente para dezenas de empresas de grande dimensão.
Este incidente ocorre também num momento especialmente delicado para a Crunchyroll, no início de 2026, a plataforma já enfrentava uma ação coletiva nos Estados Unidos por alegadamente partilhar dados de visualização dos utilizadores com plataformas de marketing externas sem consentimento.
Para quem tem conta ativa, a recomendação dos especialistas é clara, alterar a palavra-passe de imediato, sobretudo se a mesma combinação de e-mail e senha for usada noutros serviços, e ativar a autenticação de dois fatores sempre que disponível. Quem pretenda verificar se o seu endereço de e-mail consta entre os dados já indexados pode fazê-lo diretamente em haveibeenpwned.com.
