Bei Crunchyroll gibt es Ärger wegen einer bestätigten Datenpanne. Zunächst wurde die Diskussion durch Berichte über einen mutmaßlichen Angriff ausgelöst. Inzwischen hat der Streaming-Dienst selbst bestätigt, dass es einen Sicherheitsvorfall gab. Nach aktuellem Stand sind Kundensupport-Daten im Zusammenhang mit einem Drittanbieter betroffen. Die meisten Angaben zum Umfang des Vorfalls stammen allerdings bislang vor allem aus Behauptungen der Angreifer und aus Medienberichten.
Ausgangspunkt der Meldung war ein Bericht von BleepingComputer vom 23. März 2026. Darin hieß es, ein Angreifer habe sich über das Okta-SSO-Konto eines Support-Mitarbeiters Zugriff verschafft. Dieser Mitarbeiter soll dem Bericht zufolge bei Telus International beziehungsweise Telus Digital beschäftigt gewesen sein, einem Dienstleister im Support-Umfeld. Der Angreifer gab an, dabei rund 8 Millionen Support-Ticket-Datensätze, darunter etwa 6,8 Millionen eindeutige E-Mail-Adressen, heruntergeladen zu haben. Diese Zahlen sind bislang nicht unabhängig bestätigt.
Am 24. März 2026, einen Tag später, bestätigte Crunchyroll gegenüber TechCrunch den Vorfall grundsätzlich. Das Unternehmen erklärte demnach, die Untersuchung laufe noch, nach bisherigem Kenntnisstand sei der Vorfall jedoch auf Kundensupport-Ticketdaten nach einem Zwischenfall bei einem Drittanbieter begrenzt. Gleichzeitig teilte Crunchyroll mit, dass bisher keine Hinweise auf einen fortlaufenden unbefugten Zugriff gefunden wurden. Dies ist ein wichtiger Punkt, denn damit bestätigt Crunchyroll die Panne, jedoch nicht die gesamte Tragweite der im Raum stehenden Behauptungen.
Vor allem die Frage, welche Informationen tatsächlich betroffen sein könnten, ist brisant. Laut BleepingComputer enthielten eingesehene Support-Tickets unter anderem Namen, Login-Namen, E-Mail-Adressen, IP-Adressen, grobe Standortdaten sowie den Inhalt der Support-Anfragen. Teilweise sollen auch Zahlungsinformationen aufgetaucht sein, allerdings offenbar nur, wenn Nutzer diese selbst in Support-Tickets eingetragen hatten. Dem Bericht zufolge handelte es sich dabei meist um begrenzte Angaben wie die letzten vier Ziffern oder Ablaufdaten; nur in wenigen Fällen soll es sich um vollständige Kartennummern gehandelt haben.
Der Fall erhält durch den möglichen Drittanbieter-Bezug zusätzliche Brisanz. Telus Digital hatte bereits zuvor einen eigenen Cybervorfall bestätigt und erklärt, dass man unbefugte Zugriffe auf eine begrenzte Zahl von Systemen untersuche und betroffene Kunden benachrichtige, sofern erforderlich. Ob und wie eng dieser bestätigte Vorfall technisch mit Crunchyroll zusammenhängt, ist jedoch noch nicht vollständig aufgeklärt. Crunchyroll selbst hat sich in den bisherigen Stellungnahmen vor allem auf einen Vorfall bei einem Drittanbieter bezogen, ohne das Gesamtbild abschließend zu beleuchten.
Für Nutzer ist deshalb vor allem Vorsicht geboten. Auch wenn die vollständige Reichweite der Datenpanne noch nicht feststeht, ist klar: Bereits E-Mail-Adressen, IP-Daten und Support-Inhalte können für Phishing und täuschend echte Betrugsversuche missbraucht werden. Wer ein Crunchyroll-Konto hat, sollte daher sein Passwort ändern - insbesondere, wenn es an anderer Stelle wiederverwendet wurde. Außerdem ist es sinnvoll, auf verdächtige E-Mails zu achten, die sich auf Rechnungen, Support-Fälle, Passwort-Resets oder angebliche Kontoprobleme beziehen. Wer Zahlungsdaten bei Crunchyroll hinterlegt hat oder dem Support sensible Informationen geschickt hat, sollte zusätzlich Kontoaktivitäten und Abrechnungen im Blick behalten.
Crunchyroll hat die Panne inzwischen bestätigt, doch viele Details - etwa der exakte Umfang der abgeflossenen Daten - bleiben vorerst offen. Es wird entscheidend sein, ob das Unternehmen in den nächsten Tagen transparenter über den Vorfall informiert und betroffene Nutzer direkt benachrichtigt.
