Die Crunchyroll-Datenpanne wirft ein Schlaglicht auf eine besorgniserregende Sicherheitstrend: Business-Process-Outsourcing-Unternehmen werden zum bevorzugten Angriffsvektor für Cyberkriminelle. Ein einzelner kompromittierter Mitarbeiter bei Telus International reichte aus, um Millionen von Nutzern zu gefährden – ein Muster, das sich in der Branche wiederholt.
Dem Hacker zufolge gelang die Infiltration durch die Infektion des Support-Agenten-Computers mit Malware, was zur Exfiltration von Okta-Zugangsdaten führte. Mit diesen Credentials öffnete sich ein Zugang zu zahlreichen unternehmenskritischen Systemen. Die Angreifer konnten acht Millionen Support-Tickets aus der Zendesk-Instanz herunterladen, von denen 6,8 Millionen eindeutige E-Mail-Adressen enthielten. Die gestohlenen Tickets zeigen ein breites Spektrum persönlicher Informationen: Namen, Login-Daten, E-Mail-Adressen, IP-Adressen und geografische Lokalisierungsdaten.
Bezüglich Kreditkartendaten präzisieren die bisherigen Ermittlungen ein differenziertes Bild: Vollständige Kartennummern wurden nur in wenigen Fällen exponiert – hauptsächlich wenn Nutzer diese freiwillig in Support-Tickets teilten. In den meisten Fällen beschränkte sich die Exposition auf Kartenländer und Ablaufdaten.
Die Angreifer behaupten, dass ihr Zugriff nach 24 Stunden widerrufen wurde, sie aber bis Mitte 2025 Daten stehlen konnten. Sie fordern nach eigenen Aussagen fünf Millionen Dollar Lösegeld, erhielten jedoch keine Reaktion von Crunchyroll.
Dieser Angriff ist kein Einzelfall. Discord erlitt 2024 einen ähnlichen Vorfall, bei dem 5,5 Millionen Nutzer betroffen waren – ebenfalls durch Kompromittierung eines Zendesk-Systems. Britische Einzelhandelsketten wie Marks & Spencer und Co-op wurden durch Social Engineering gegen Support-Personal angegriffen, mit verheerenden Folgen für Ransomware- und Datendiebstahl-Kampagnen.
Die britische Regierung reagierte mit gezielter Sicherheitsanleitung zu Angriffen auf Help Desks und BPOs. Die Angriffsmuster zeigen Kreativität: Hacker erpressen Insider mit Bestechung, täuschen Support-Personal durch Social Engineering oder kompromittieren BPO-Mitarbeiterkonten direkt. Ein besonders dreister Fall: Angreifer gaben sich als Arbeitnehmer aus und überzeugten einen Cognizant-Support-Mitarbeiter, ihnen Zugang zu einem Clorox-Account zu gewähren.
Für deutsche Nutzer und Unternehmen mit Crunchyroll-Accounts ist Wachsamkeit geboten. Die exponierte geografische Information könnte für zielgerichtete Phishing-Angriffe genutzt werden. Nutzer sollten ihre Crunchyroll-Passwörter ändern und Konten auf verdächtige Aktivität überwachen.