Anime yayıncılık devi Crunchyroll, bir siber saldırganın neden olduğu veri ihlalinin yalnızca müşteri hizmetleri bilet verileriyle sınırlı kaldığını açıkladı. Şirket yetkilileri, kullanıcıların temel hesap bilgilerinin veya finansal verilerinin bu sızıntıdan etkilenmediğini belirtti. Ancak yapılan son incelemeler, ihlalin boyutunun ilk açıklamalardan çok daha büyük olduğunu ortaya koydu. Saldırganların yaklaşık 8 milyon adet müşteri destek bileti kaydını ele geçirdiği ve bu kayıtlarda 6.8 milyon benzersiz e-posta adresi bulunduğu tespit edildi.

İhlalin Detayları

Crunchyroll'dan yapılan açıklamaya göre, meydana gelen siber saldırı sonucunda sadece kullanıcıların müşteri hizmetleri departmanıyla paylaştığı destek biletlerinin içeriği sızdırıldı. Bu biletler genellikle teknik sorunlar, hesapla ilgili sorular veya genel geri bildirimler gibi bilgileri içerir. Ancak siber güvenlik uzmanlarının yaptığı detaylı analizler, sızdırılan verilerin sadece bunlarla sınırlı olmadığını gösterdi. Saldırganların ele geçirdiği destek biletlerinde kullanıcıların tam isimleri, kullanıcı adları, IP adresleri, genel coğrafi konum bilgileri ve hatta bazı durumlarda kredi kartı bilgilerinin son dört hanesi gibi hassas verilerin de bulunduğu ortaya çıktı.

Olay, 12 Mart 2026 tarihinde gerçekleşti. Saldırganlar, Crunchyroll'un müşteri hizmetlerini dışarıdan sağlayan Telus International adlı üçüncü taraf şirkette çalışan bir destek görevlisinin bilgisayarını hedef aldı. Kötü amaçlı yazılım (malware) kullanarak görevlinin Okta SSO (Tek Oturum Açma) kimlik bilgilerini ele geçiren hackerlar, bu sayede Crunchyroll'un kullandığı birçok farklı platforma erişim sağladı. Bu platformlar arasında Zendesk, Slack, Google Workspace Mail, Jira Service Management ve Mixpanel gibi kritik sistemler bulunuyordu.

Saldırganların sistemdeki erişim izinleri yaklaşık 24 saat sonra iptal edildi, ancak bu kısa süre içinde 100 GB'ı aşan miktarda veri indirmeyi başardılar. Ele geçirilen verilerin 2025 yılının ortalarına kadar olan dönemi kapsadığı belirtiliyor. Saldırganların, sızdırılan verilerin kamuoyuna ifşa edilmemesi karşılığında Crunchyroll'dan 5 milyon dolar fidye talep ettiği, ancak şirketten herhangi bir yanıt alamadıkları bildirildi.
Kullanıcılara Yönelik Güvence ve Gelişmeler

Şirket, sızıntının kullanıcıların şifreleri, ödeme bilgileri veya diğer kişisel hesap detaylarını kapsamadığının altını çizdi. Crunchyroll, veri güvenliği önlemlerini gözden geçirdiklerini ve benzer olayların tekrarlanmaması adına ek güvenlik tedbirleri aldıklarını ifade etti. Yapılan resmi açıklamada, "Soruşturmamız devam ediyor ve önde gelen siber güvenlik uzmanlarıyla çalışmaya devam ediyoruz. Şu anda, bilgilerin büyük ölçüde üçüncü taraf bir satıcıyla ilgili bir olayın ardından müşteri hizmetleri bilet verileriyle sınırlı olduğuna inanıyoruz" ifadelerine yer verildi.

Ancak bu güvencelere rağmen olayın yankıları büyümeye devam ediyor. 24 Mart 2026'da Kaliforniya'da bir federal mahkemede Crunchyroll aleyhine toplu dava (class-action lawsuit) açıldı. Davayı açan Max Agress isimli kullanıcı, şirketin 6.8 milyon kullanıcının kişisel verilerini korumayı ihmal ettiğini ve bu durumun kimlik hırsızlığı, mali dolandırıcılık ve diğer siber suçlar için ciddi riskler oluşturduğunu iddia ediyor. Dava dilekçesinde, Crunchyroll'un yeterli güvenlik önlemleri almadığı, çalışanlarını eğitmediği ve çok faktörlü kimlik doğrulama gibi temel korumaları uygulamadığı belirtiliyor.

Siber güvenlik uzmanları, bu tür ihlallerin önlenebilir olduğunu ve özellikle dış kaynak kullanılan hizmetlerdeki risklerin göz ardı edilmemesi gerektiğini vurguluyor. Huntress şirketinden Dray Agha, konuyla ilgili yaptığı değerlendirmede, "Crunchyroll, büyük miktarda kullanıcı alışkanlığı ve kişisel bilgi toplamanın çift ucu keskin bir kılıç olduğunu zor yoldan öğreniyor. Bir müşteri hizmetleri temsilcisinin yetkileri, milyonlarca hassas kullanıcı kaydının kilidini açan anahtar olmamalı" uyarısında bulundu.

Etkilenip etkilenmediğini merak eden kullanıcılar, "Have I Been Pwned" (hibp) sitesi üzerinden e-posta adreslerini kontrol edebiliyor. Sitenin veritabanına Nisan 2026 başında eklenen 1.2 milyon benzersiz e-posta adresi olduğu bildirildi. Crunchyroll ise soruşturma tamamlandığında etkilenen kullanıcılarla doğrudan iletişime geçeceklerini duyurdu.