Популярная платформа для стриминга аниме Crunchyroll расследует утечку данных после того, как хакеры заявили о краже персональной информации примерно 6,8 миллиона человек.
“Мы осведомлены о недавних заявлениях и в настоящее время тесно сотрудничаем с ведущими экспертами по кибербезопасности для расследования этого инцидента”, — сообщили в Crunchyroll изданию BleepingComputer.
Это заявление прозвучало после того, как в прошлый четверг злоумышленник связался с BleepingComputer и заявил, что взломал Crunchyroll 12 марта в 21:00 по восточному времени (EST), получив доступ к учетной записи Okta SSO сотрудника службы поддержки Crunchyroll.
Этот сотрудник службы поддержки, предположительно, является работником компании Telus International, занимающейся аутсорсингом бизнес-процессов (BPO), имеющим доступ к заявкам в службу поддержки Crunchyroll. Злоумышленники утверждают, что использовали вредоносное ПО для заражения компьютера агента и получения доступа к его учетным данным.
Судя по скриншотам, предоставленным BleepingComputer, эти учетные данные обеспечили доступ к различным приложениям Crunchyroll, включая Zendesk, Wizer, MaestroQA, Mixpanel, Google Workspace Mail, Jiro Service Management и Slack.
Используя этот доступ, атакующие, по их словам, скачали 8 миллионов записей из системы заявок Zendesk компании Crunchyroll. Из этих записей, как утверждается, 6,8 миллиона составляют уникальные адреса электронной почты.
Образцы заявок в службу поддержки, просмотренные BleepingComputer, а затем удаленные, содержали разнообразную информацию, включая имя пользователя Crunchyroll, логин, адрес электронной почты, IP-адрес, общую географическую локацию и содержимое самих заявок.
Хотя другие сообщения об инциденте утверждают, что была скомпрометирована информация о кредитных картах, BleepingComputer подтвердил, что данные кредитных карт были раскрыты только в тех случаях, когда клиент сам делился ими в заявке в службу поддержки.
По большей части, это включало только базовую информацию, такую как последние четыре цифры или сроки действия, и лишь немногие содержали полные номера карт, по словам злоумышленника.
Все просмотренные BleepingComputer заявки ссылались на Telus, что подтверждает утверждение злоумышленника о том, что они скомпрометировали сотрудника BPO.
Злоумышленник утверждает, что его доступ был отозван через 24 часа, что позволило ему украсть данные вплоть до середины 2025 года.
Хакер заявляет, что отправил Crunchyroll письма с требованием выкупа в размере 5 миллионов долларов в обмен на неразглашение данных, но не получил ответа от компании.
Хотя эта атака была направлена на сотрудника Telus, BleepingComputer сообщили, что она не связана с масштабным взломом Telus Digital группой вымогателей ShinyHunters.
BPO — ценная цель
Компании по аутсорсингу бизнес-процессов (BPO) стали высокоценными целями для злоумышленников за последние несколько лет, поскольку они часто занимаются поддержкой клиентов, выставлением счетов и внутренними системами аутентификации для множества компаний.
В результате злоумышленники могут скомпрометировать одного сотрудника BPO и получить доступ к большим объемам клиентских и корпоративных данных из нескольких компаний.
За последний год злоумышленники использовали уязвимости BPO, подкупая инсайдеров с законным доступом, используя методы социальной инженерии для получения несанкционированного доступа от сотрудников службы поддержки и компрометируя учетные записи сотрудников BPO для доступа к внутренним системам.
В одном из самых громких случаев злоумышленники выдали себя за сотрудника и убедили агента службы поддержки Cognizant предоставить им доступ к учетной записи сотрудника Clorox, что позволило им проникнуть в сеть компании.
Крупные ритейлеры также подтвердили, что атаки с использованием социальной инженерии против сотрудников службы поддержки привели к атакам с использованием программ-вымогателей и краже данных.
Marks & Spencer подтвердила, что атакующие использовали социальную инженерию для взлома ее сетей, в то время как Co-op сообщила о краже данных после атаки программы-вымогателя, которая аналогичным образом использовала доступ сотрудников службы поддержки.
В ответ на атаки на розничные компании M&S и Co-op правительство Великобритании опубликовало рекомендации по атакам с использованием социальной инженерии, направленным на службы поддержки и BPO.
В некоторых случаях хакеры нацеливаются непосредственно на учетные записи сотрудников BPO, чтобы получить доступ к управляемым ими данным клиентов.
В октябре Discord сообщила об утечке данных, которая, как утверждается, раскрыла данные 5,5 миллионов уникальных пользователей после компрометации экземпляра их системы поддержки Zendesk.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
