Hack bij animedienst Crunchyroll, lek zat bij extern contact center
Crunchyroll, een van ’s werelds grootste streamingdiensten voor anime (Japanse animatieseries en films), is slachtoffer geworden van een hack. Het platform , eigendom van Sony en goed voor tientallen miljoenen gebruikers wereldwijd , is ook in Nederland beschikbaar maar speelt hier vooral een niche-rol onder animefans. Toch is de impact van het incident allesbehalve niche. De aanval legt een terugkerende uitdaging bloot die ook voor Nederlandse klantcontactorganisaties relevant is: kwetsbaarheid in de uitbestede klantcontactketen.
Hack via helpdesk: miljoenen records buitgemaakt
De aanval op Crunchyroll vond plaats op 12 maart en verliep via een externe partij: Telus International. Deze business process outsourcer (BPO) verzorgt onder meer klantcontact- en supportprocessen voor Crunchyroll, aldus NogenTech.
Hackers wisten toegang te krijgen tot een account van een helpdeskmedewerker van Telus. Die medewerker werkte dus niet direct voor Crunchyroll, maar had wél toegang tot systemen, zoals het ticketsysteem. Volgens berichten zijn daarbij circa 8 miljoen supporttickets buitgemaakt, met daarin ongeveer 6,8 miljoen unieke e-mailadressen en andere persoonsgegevens.
Crunchyroll bevestigde het incident en gaf aan: “Our investigation is ongoing, and we continue to work with leading cybersecurity experts.”
Eén geïnfecteerde medewerker, volledige toegang
De aanval begon met malware op het device van een medewerker van het externe contact center. Daarmee konden inloggegevens worden buitgemaakt, inclusief toegang tot een zogeheten single-sign-on (SSO)-omgeving.
Dat werkte als een ‘master key’. Binnen circa 24 uur wist de aanvaller grote hoeveelheden data te kopiëren, voordat de toegang werd afgesloten.
Dit type aanval staat bekend als een zgn. ‘supply chain attack’; niet de organisatie zelf wordt gehackt, maar een leverancier met toegang.
Crunchyroll en Nederland: niche, maar toch relevant
Crunchyroll is in Nederland geen grootschalig streamingplatform zoals Netflix of Videoland, maar wel relevant binnen specifieke doelgroepen. Voor organisaties in klantcontact is dat onderscheid minder belangrijk. Crunchyroll opereert wereldwijd met miljoenen gebruikers en werkt, net als veel Nederlandse organisaties, met externe contactcenters voor schaalbaarheid en kostenbeheersing.
Ruim een maand geleden meldde de NOS dat het grote, recente privacylek bij Odido, ook ontstaan zou zijn bij 1 of meerdere externe contact centers.
Les voor de sector: uitbesteden is geen risicotransfer
De actuele Crunchyroll-case onderstreept een ongemakkelijke realiteit: uitbesteden verlaagt kosten, maar verplaatst bepaalde risico’s niet. Integendeel. Door klantcontact extern te beleggen, ontstaat een extra aanvalsmogelijkheid voor kwaadwillenden. Eén geïnfecteerde werkplek bij een externe leverancier van klantcontactdiensten, kan voldoende zijn voor grootschalige datalekken.
Voor klantcontactprofessionals betekent dit dat security geen IT-onderwerp meer is, maar een ketenverantwoordelijkheid. De vraag is niet óf jouw organisatie binnen afzienbare tijd wordt aangevallen, maar wanneer dat dit gebeurt, en hoe goed de toegang dan is ingeperkt.
