Trong phản hồi ban đầu, Crunchyroll cho biết đã ghi nhận các cáo buộc và đang phối hợp với các chuyên gia an ninh mạng để làm rõ vụ việc. Ở cập nhật sau đó, doanh nghiệp này nhận định dữ liệu bị ảnh hưởng “chủ yếu giới hạn ở các phiếu hỗ trợ khách hàng”, liên quan đến một sự cố với nhà cung cấp bên thứ ba. Công ty cũng cho biết chưa phát hiện bằng chứng về việc truy cập trái phép vẫn đang diễn ra, song sẽ tiếp tục theo dõi sát tình hình.

Crunchyroll hiện đang khẩn trương điều tra vụ việc tin tặc tuyên bố đánh cắp dữ liệu 6,8 triệu người dùng.

Xâm nhập qua tài khoản nhân viên hỗ trợ, 8 triệu bản ghi rơi vào tay tin tặc

Diễn biến vụ việc bắt đầu khi một đối tượng tấn công liên hệ với BleepingComputer, cho biết đã xâm nhập hệ thống Crunchyroll vào ngày 12/3 thông qua tài khoản đăng nhập một lần (SSO) của Okta. Tài khoản này thuộc về một nhân viên hỗ trợ được cho là làm việc tại Telus International - công ty cung cấp dịch vụ thuê ngoài (BPO) có quyền truy cập vào hệ thống hỗ trợ khách hàng của Crunchyroll.

Theo tuyên bố của tin tặc, chúng đã sử dụng phần mềm độc hại để lây nhiễm máy tính của nhân viên này và đánh cắp thông tin đăng nhập. Từ đó, kẻ tấn công có thể truy cập vào hàng loạt hệ thống nội bộ, bao gồm Zendesk, Wizer, MaestroQA, Mixpanel, Google Workspace Mail, Jira Service Management và Slack.

Tận dụng quyền truy cập, tin tặc tuyên bố đã tải xuống khoảng 8 triệu bản ghi phiếu hỗ trợ từ hệ thống Zendesk của Crunchyroll, trong đó có khoảng 6,8 triệu địa chỉ email duy nhất.

Các mẫu dữ liệu do BleepingComputer kiểm chứng cho thấy thông tin bị lộ khá đa dạng, bao gồm tên người dùng, tên đăng nhập, địa chỉ email, địa chỉ IP, vị trí địa lý chung và nội dung trao đổi trong các phiếu hỗ trợ.

Liên quan đến thông tin tài chính, nguồn tin cho biết dữ liệu thẻ tín dụng chỉ xuất hiện trong trường hợp người dùng chủ động cung cấp trong nội dung hỗ trợ. Phần lớn chỉ là các thông tin cơ bản như bốn số cuối hoặc ngày hết hạn, và chỉ một số ít trường hợp chứa đầy đủ số thẻ.

Các dữ liệu này đều có liên quan đến Telus, củng cố nhận định rằng vụ xâm nhập bắt nguồn từ tài khoản của một nhân viên BPO.

Tin tặc cho biết quyền truy cập đã bị thu hồi sau khoảng 24 giờ, song trong thời gian đó chúng đã kịp thu thập dữ liệu kéo dài đến giữa năm 2025. Nhóm này cũng tuyên bố đã gửi email tống tiền Crunchyroll, yêu cầu 5 triệu USD để không công bố dữ liệu, nhưng chưa nhận được phản hồi.

Đáng chú ý, dù có liên quan đến Telus, vụ việc được xác định không liên quan đến sự cố rò rỉ dữ liệu quy mô lớn tại Telus Digital do nhóm ShinyHunters thực hiện trước đó.

BPO - “mắt xích yếu” trong chuỗi an ninh

Vụ việc một lần nữa cho thấy các công ty BPO đang trở thành mục tiêu hấp dẫn đối với tin tặc. Đây là những đơn vị thường xử lý nhiều khâu quan trọng như hỗ trợ khách hàng, thanh toán và xác thực hệ thống cho nhiều doanh nghiệp khác nhau.

Chỉ cần xâm nhập một tài khoản nhân viên BPO, kẻ tấn công có thể mở rộng quyền truy cập sang dữ liệu của nhiều tổ chức. Thực tế thời gian qua cho thấy các đối tượng đã khai thác điểm yếu này bằng nhiều phương thức, từ hối lộ nội bộ, tấn công kỹ nghệ xã hội đến chiếm quyền tài khoản.

Một trường hợp điển hình là vụ tin tặc giả danh nhân viên để thuyết phục bộ phận hỗ trợ của Cognizant cấp quyền truy cập vào tài khoản của nhân viên Clorox, qua đó xâm nhập hệ thống doanh nghiệp.

Nhiều nhà bán lẻ lớn như Marks & Spencer hay Co-op cũng xác nhận từng bị tấn công theo hình thức tương tự, dẫn đến các vụ tấn công mã độc tống tiền (ransomware) và đánh cắp dữ liệu.

Trong bối cảnh đó, chính phủ Anh đã phải ban hành hướng dẫn riêng nhằm đối phó với các cuộc tấn công kỹ nghệ xã hội nhằm vào bộ phận hỗ trợ và các doanh nghiệp BPO.

Ngay cả các nền tảng công nghệ lớn cũng không đứng ngoài xu hướng này. Trước đó, Discord từng tiết lộ một vụ rò rỉ dữ liệu ảnh hưởng đến khoảng 5,5 triệu người dùng sau khi hệ thống Zendesk bị xâm nhập.

Vụ việc tại Crunchyroll tiếp tục gióng lên hồi chuông cảnh báo về rủi ro an ninh trong chuỗi cung ứng dịch vụ số, đặc biệt khi các doanh nghiệp ngày càng phụ thuộc vào bên thứ ba trong vận hành và quản lý dữ liệu người dùng.

Lệ Thanh