A Crunchyrollt osztályper érte a hónap elején, miután egy harmadik fél által elkövetett, állítólagos adatvédelmi incidens történt, amelyet jelenleg is vizsgálnak.
A keresetet benyújtó személy, aki Washington államból származik és a Kaliforniai Északi Kerületi Bíróságon perel, több vádaskodást is megfogalmazott. Azt állítja, hogy a Crunchyroll nem biztosította megfelelően a felhasználók személyesen azonosítható adatait, amikor olyan cégekkel osztotta meg azokat, amelyek alacsony szintű adatbiztonsági intézkedéseket alkalmaztak. Ezen felül hangsúlyozza, hogy ez stresszhez és szorongáshoz vezetett, valamint hogy fennáll a kockázata, hogy az így kiszivárgott adatok csalások és egyéb bűncselekmények elkövetésére kerülnek felhasználásra.
A keresetben a megtámadott fogyasztók osztálya a következőképpen van meghatározva: „Minden olyan egyén az Egyesült Államok területén, akinek PII és/vagy pénzügyi információja jogosulatlan harmadik felekhez került, a vádlott által 2026. március 12-én bekövetkezett adatvédelmi incidenst követően.”
A Telus Digital, amelyet a jelentések szerint a harmadik félként vádoltak, megerősítette, hogy március 12-én biztonsági incidens történt. A BleepingComputer médiaközlés is jelentette, hogy hackerek januárban azt állították, hogy sikeresen feltörték a Telust. A Telus közölte, hogy értesíti az érintett ügyfeleket a 2026. március 12-i incidensről; a Crunchyroll, amely még nem erősítette meg a adatvédelmi incidenst, március 23-án kiadott egy nyilatkozatot, amelyben tudomásul vette a vádakat. Március 24-én viszonylag csendes második frissítést adott ki:
„A vizsgálatunk folyamatban van, és továbbra is együttműködünk vezető kiberbiztonsági szakértőkkel. Jelenleg úgy véljük, hogy az információk elsősorban az ügyfélszolgálati jegyek adataira korlátozódnak, a harmadik fél által történt incidens következtében. Nem azonosítottunk olyan bizonyítékokat, amelyek folyamatos hozzáférést igazolnának a rendszerekhez e vádakkal összefüggésben. Továbbra is szorosan figyelemmel kísérjük a helyzetet.”
A Crunchyroll nyilatkozata érthetően homályos. Anélkül, hogy megerősítené, hogy az állítólag ellopott adatok valóban a Crunchyroll ügyfeleinek PII adatai, a nyilatkozat azt sugallja, hogy ha létezik ilyen adat, az főként az ügyfélszolgálati jegyekre korlátozódik. A Crunchyroll nem válaszolt arra a kérdésre, hogy mikor vált tudomására állítólagos adatvédelmi incidenst, hogy ez valóban PII-e, vagy hogy mi az, ami a „elsősorban az ügyfélszolgálati jegyek adataira korlátozódik” kívül esetlegesen elloptak. A Telus március 12-én azt is közölte, hogy értesíti az érintett ügyfeleket.
Érdemes megjegyezni, hogy a felperesi vádak nagyrészt megerősítetlenek. A kereset azt állítja, hogy a Crunchyroll hónapok óta tudott a kockázatokról, míg a Crunchyroll csak ezen a héten osztotta meg, hogy tudomásuk van a vádakról. Nem világos, hogy a „hónapok” kifejezés honnan ered, de valószínűleg azokra a januári jelentésekre utal, amelyek szerint a Telust feltörték, amit a Telus nem erősített meg.
A felperes azt állítja, hogy a Crunchyroll nem biztosította adatai megfelelő védelmét, ezért gondatlan volt, figyelembe véve, hogy az adatvédelmi incidensek egyre gyakoribbá válnak. A felperes továbbá megjegyzi, hogy a Crunchyroll nem biztosított világos és időben történő értesítést az ügyfelek számára, és jogtalanul gazdagodott meg azzal, hogy eltitkolta gyenge biztonsági rendszereit.
A kereset szerint a Crunchyroll azzal, hogy félrevezette az ügyfeleket az adataik biztonságáról, megsértette az FTC törvényének tisztességtelen gyakorlatokra vonatkozó szabályait. Emellett azt is megemlítik, hogy a PII nem volt megfelelően titkosítva. Mivel a Crunchyroll még nem erősítette meg, hogy milyen adatokat loptak el és hogyan, a kereset célja különböző tények megállapítása.
A feltételezett ellopott adatokat itt találhatja ebben a szálban: itt és lentebb:
A kereset számos dolgot célzott, többek között a tények megállapítását és kártérítést, beleértve a tényleges kártérítést és háromszoros kártérítést, akár 25,000 dollárig osztálytagonként, jogorvoslatot, ügyvédi díjakat, valamint bírósági végzést, amely kötelezi a Crunchyrollt arra, hogy megfelelő adatbiztonsági és képzési programokat vezessen be, valamint arra, hogy felfedje, milyen adatokat, ha egyáltalán, loptak el, és az azokkal kapcsolatos kockázatokat.
Ez a második osztályper a Crunchyroll ellen ebben a hónapban, miután a felperesek azt állították, hogy a Crunchyroll alkalmazása az ügyfelek nézési szokásait küldte a Braze-nek, hogy marketingprofilokat építsen.
Forrás: Enfield kontra Crunchyroll LLC (CourtListener)
Forrás
