Злоумышленник похитил около 100 ГБ пользовательских данных из Crunchyroll, аниме-стриминга Sony. Точкой входа стал сотрудник Telus Digital, компании-подрядчика Crunchyroll. На 23 марта 2026 года Crunchyroll не признала инцидент и не уведомила 15 млн подписчиков.
Взлом произошёл 12 марта 2026 года. В тот же день Telus Digital подтвердила отдельное, куда более масштабное вторжение. Группировка ShinyHunters, специализирующаяся на кибервымогательстве с 2020 года, заявила о краже почти петабайта данных и потребовала выкуп в $65 млн. Telus отказалась платить.
Сотрудник Telus Digital в Индии запустил вредоносную программу из поддельного фишингового письма. По словам злоумышленника, инфостилер (программа для кражи учётных данных) перехватил его логин и пароль от Okta, что позволило получить доступ к инфраструктуре Crunchyroll. Оттуда злоумышленник добрался до системы обработки обращений и баз клиентской аналитики.
Издание International Cyber Digest изучило часть похищенных файлов. В выборке обнаружены IP-адреса, адреса электронной почты, данные платёжных карт и аналитика по пользователям. Полные номера карт или только последние четыре цифры содержатся в файлах, пока неизвестно. В системах обработки обращений часто хранятся незашифрованные журналы, куда клиенты сами вставляют скриншоты счетов или номера карт открытым текстом.
Вторжение обнаружили и перекрыли примерно через сутки. 100 ГБ за 24 часа говорят о заранее подготовленной автоматизированной выгрузке.
Crunchyroll, одна из жертв более крупного взлома Telus Digital. ShinyHunters утверждает, что похитила записи колл-центров, инструменты ИИ-поддержки, систему борьбы с мошенничеством и исходный код. Среди украденных файлов оказались финансовая отчётность и выгрузки из Salesforce. Среди похищенного, по словам группировки, оказались результаты проверок ФБР для сотрудников. Как утверждает группировка, взлом затронул 28 компаний-клиентов Telus.
TELUS Digital расследует инцидент с несанкционированным доступом к ограниченному числу систем. После обнаружения мы немедленно приняли меры по устранению несанкционированной активности и защите систем от дальнейшего вторжения.
— Telus Digital, публичное заявление, 12 марта 2026 года
Корни взлома Telus Digital уходят к третьему инциденту. ShinyHunters получили учётные данные Google Cloud Platform из материалов, похищенных во время компрометации Salesloft Drift в 2025 году. Тогда злоумышленники украли маркеры авторизации OAuth (ключи для доступа к данным без пароля) из интеграции с чат-ботом Drift и добрались до данных Salesforce 760 компаний. Затем ShinyHunters прогнали данные Telus через открытый инструмент Trufflehog, извлекли новые учётные записи и несколько месяцев перемещались по системам и хранилищам данных BigQuery.
Взлом Salesloft, это подарок, который продолжает давать. Учётные данные, с помощью которых попали в Telus Digital, ведут к компрометации Salesloft, начавшейся в начале 2025 года.
— Денис Калдерон (Denis Calderone), технический директор Suzu Labs
Salesloft Drift (2025) дал учётные данные для Telus Digital (март 2026). Telus дал доступ к Crunchyroll в тот же день. Связь между тем, кто похитил данные Crunchyroll, и группировкой ShinyHunters не подтверждена. Тот, кто украл данные Crunchyroll, сам связался с International Cyber Digest, описал фишинговую атаку и заявил о 100 ГБ за сутки. ShinyHunters попали к Telus через украденные учётные данные GCP и работали незаметно несколько месяцев, претендуя на петабайт. Возможно, кто-то другой обнаружил уже скомпрометированную инфраструктуру Telus и воспользовался ситуацией.
Есть и другая версия: утечка Crunchyroll, часть операции ShinyHunters. В этом случае публикация, способ оказать давление после того, как Crunchyroll проигнорировала обращения.
Читайте также: В npm нашли самораспространяющийся вредоносный пакет: CanisterWorm крадёт токены и заражает чужие библиотеки
У Crunchyroll и без того непростая юридическая ситуация. В начале 2026 года против стримингового сервиса подали коллективный иск за передачу данных о просмотрах пользователей рекламным площадкам без согласия. Подтверждённая утечка персональных данных и возможных номеров карт усилит давление регуляторов. GDPR требует уведомить пострадавших за 72 часа, калифорнийский CCPA не менее строг.
Аутсорсинговые компании обслуживают аутентификацию, работу с оплатой и обращения клиентов сразу для десятков заказчиков. Один взлом подрядчика бьёт по всем, кто к нему подключён. Crunchyroll — первая названная жертва из взлома Telus Digital. Заявлено 28 пострадавших компаний. Имена остальных пока не раскрыты.
Sony, материнская компания Crunchyroll, не прокомментировала ситуацию. Подписчикам Crunchyroll стоит сменить пароль и включить двухфакторную аутентификацию. Тем, кто отправлял номера карт или скриншоты счетов через портал поддержки, стоит проверить выписки и подключить уведомления о списаниях. 11 дней молчания Crunchyroll (если дата 12 марта подтвердится) привлекут внимание регуляторов первыми.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
