A Crunchyroll confirmou estar a investigar uma possível violação de segurança depois de uma conta especializada em cibersegurança, a International Cyber Digest, ter publicado este domingo alegações de que um agente malicioso terá roubado cerca de 100 GB de dados sensíveis de utilizadores da plataforma. Segundo o relato, o incidente terá ocorrido a 12 de março de 2026 e terá passado despercebido durante aproximadamente 24 horas.
A plataforma reagiu com uma declaração breve: “Temos conhecimento de alegações recentes e estamos atualmente a trabalhar em estreita colaboração com os principais especialistas em cibersegurança para investigar o assunto”.
De acordo com a International Cyber Digest, a intrusão não terá tido origem diretamente nos sistemas da Crunchyroll. O vetor de ataque terá sido a Telus, empresa canadiana de externalização de processos de negócio que presta serviços de apoio ao cliente à plataforma, incluindo a gestão do sistema de tickets. Um funcionário da Telus terá executado malware no seu computador de trabalho, o que terá permitido ao atacante aceder lateralmente à infraestrutura interna da Crunchyroll. A Telus reconheceu separadamente um incidente de segurança nos seus próprios sistemas na mesma data, em que uma “quantidade limitada” de sistemas terá sido acedida sem autorização.
Os dados alegadamente comprometidos incluem endereços de email, endereços IP, detalhes de cartões de crédito e informação de análise de comportamento de utilizadores. O grupo ShinyHunters, é apontado como um dos responsáveis, são uma organização com historial extenso de violações de alto perfil, incluindo incidentes recentes contra a Telus Digital, onde terão alegadamente roubado 700 terabytes de dados internos, e contra a Aura, empresa de proteção de identidade, onde foram extraídos 900.000 registos de utilizadores.
Não é a primeira vez que a Crunchyroll se encontra numa posição difícil quanto à proteção de dados dos utilizadores. A plataforma enfrenta atualmente uma ação judicial coletiva nos Estados Unidos por alegada partilha de dados de visualização com a empresa de marketing Braze Inc. sem o consentimento dos utilizadores, em alegada violação do Video Privacy Protection Act (VPPA). Em 2022, um processo semelhante acusou a Crunchyroll de utilizar o Facebook Pixel para partilhar informação de visualização com o Facebook, caso que a plataforma resolveu extrajudicialmente em setembro de 2023 com um pagamento de 16 milhões de dólares, comprometendo-se a modificar o uso de tecnologias de rastreamento.
Enquanto a investigação decorre, especialistas em cibersegurança recomendam que os subscritores tomem medidas preventivas imediatas: alterar a password da conta Crunchyroll, especialmente se a mesma password for usada noutros serviços, monitorizar extratos bancários e de cartão de crédito em busca de movimentos suspeitos, e estar alerta para emails de phishing que usem a Crunchyroll como pretexto. A plataforma não dispõe nativamente de autenticação de dois fatores, o que limita as opções de proteção adicionais diretamente na conta.
A Crunchyroll é uma joint venture de operação independente entre a Sony Pictures Entertainment e a Aniplex, subsidiária da Sony Music Entertainment Japan. A aquisição da plataforma pelo grupo Funimation, então pertencente à Sony, foi concluída em agosto de 2021 por 1,175 mil milhões de dólares.
