Nach Angaben des Angreifers gegenüber BleepingComputer erfolgte der Einbruch über das Okta-SSO-Konto eines Support-Mitarbeiters. Dieser soll bei dem Outsourcing-Dienstleister Telus International beschäftigt sein und Zugriff auf Crunchyroll-Support-Tickets gehabt haben. Den Computer des Mitarbeiters wollen die Angreifer mit Malware infiziert und so die Zugangsdaten abgegriffen haben.
Laut Screenshots, die BleepingComputer einsehen konnte, eröffneten diese Zugangsdaten den Zugriff auf zahlreiche bei Crunchyroll genutzte Anwendungen, darunter Zendesk, Wizer, MaestroQA, Mixpanel, Google Workspace Mail, Jira Service Management und Slack. Über diesen Zugang sollen die Angreifer rund 8 Millionen Support-Ticket-Datensätze aus der Zendesk-Instanz heruntergeladen haben, in denen angeblich 6,8 Millionen einzigartige E-Mail-Adressen enthalten waren.
Muster der Tickets, die BleepingComputer einsah und anschließend löschte, enthielten unterschiedlichste Angaben: Name, Login-Name, E-Mail-Adresse, IP-Adresse, grobe geografische Lage sowie den Inhalt der Support-Tickets. Anders als in anderen Berichten dargestellt, wurden Kreditkartendaten nach Bestätigung von BleepingComputer nur dann offengelegt, wenn Kunden sie selbst in einem Ticket geteilt hatten. Dabei handelte es sich meist um Basisangaben wie die letzten vier Ziffern oder das Ablaufdatum; nur in wenigen Fällen sollen vollständige Kartennummern enthalten gewesen sein. Sämtliche von BleepingComputer eingesehenen Tickets verweisen auf Telus und stützen damit die Behauptung, ein Mitarbeiter des Dienstleisters sei kompromittiert worden.
Der Angreifer gibt an, sein Zugang sei nach 24 Stunden gesperrt worden, was ihm den Diebstahl von Daten bis Mitte 2025 ermöglicht habe. Zudem will er Erpressungsmails an Crunchyroll geschickt und 5 Millionen US-Dollar dafür gefordert haben, die Daten nicht zu veröffentlichen — eine Reaktion des Unternehmens sei ausgeblieben. Obwohl der Angriff einen Telus-Mitarbeiter traf, steht er BleepingComputer zufolge nicht in Zusammenhang mit dem großen Einbruch bei Telus Digital durch die Erpressergruppe ShinyHunters.
Outsourcing-Dienstleister sind in den vergangenen Jahren zu lohnenden Zielen geworden, weil sie Kundensupport, Abrechnung und interne Authentifizierungssysteme für mehrere Unternehmen zugleich betreuen. Wird ein einziger Mitarbeiter kompromittiert, können Angreifer auf große Mengen an Kunden- und Unternehmensdaten mehrerer Firmen zugreifen. Im vergangenen Jahr nutzten Angreifer solche Dienstleister aus, indem sie Insider mit legitimem Zugang bestachen, Support-Personal per Social Engineering zur Freigabe von Zugängen bewegten oder Mitarbeiterkonten direkt übernahmen.
In einem prominenten Fall gaben sich Angreifer als Beschäftigte aus und überzeugten einen Helpdesk-Mitarbeiter von Cognizant, ihnen Zugriff auf ein Konto eines Clorox-Beschäftigten zu gewähren, wodurch sie in das Unternehmensnetz eindrangen. Auch große Einzelhändler bestätigten solche Angriffe: Marks & Spencer wurde über Social Engineering kompromittiert, Co-op meldete Datendiebstahl nach einem Ransomware-Angriff, der ebenfalls den Zugang von Support-Personal missbrauchte. Als Reaktion auf die Angriffe auf M&S und Co-op veröffentlichte die britische Regierung eine Handreichung zu Social-Engineering-Angriffen auf Helpdesks und Outsourcing-Dienstleister. Im Oktober legte zudem Discord ein Datenleck offen, das nach Kompromittierung seiner Zendesk-Instanz angeblich Daten von 5,5 Millionen Nutzern betraf.
