Panda Security Blog 🔬
Wróć
3 min read

Wyciek danych Crunchyroll — 6,8 mln użytkowników na celowniku przez phishing u podwykonawcy

Table of Contents

W połowie marca 2026 roku doszło do poważnego wycieku danych użytkowników popularnej platformy animacji Crunchyroll, należącej do Sony. Sprawcy zdołali wykraść około 100 GB danych, w tym ponad 6,8 miliona unikalnych adresów e-mail, a wejście do systemów uzyskali nie przez lukę w samym Crunchyrollu — lecz przez jednego pracownika firmy zewnętrznej.

Jak doszło do ataku?

Crunchyroll korzysta z usług TELUS Digital — kanadyjskiej firmy świadczącej outsourcing procesów biznesowych, w tym obsługę klienta. Atakujący wysłali do jednego z pracowników TELUS wiadomość phishingową. Otworzenie załącznika zainstalowało złośliwe oprogramowanie na stacji roboczej pracownika, co dało hakerom punkt wejścia do sieci. Stąd poruszali się lateralnie — „poziomo” po infrastrukturze — aż do osiągnięcia systemów Crunchyroll.

W ciągu kilku godzin cyberprzestępcy wyeksportowali ogromną ilość danych: adresy e-mail, adresy IP, dane kart płatniczych oraz szczegółowe informacje analityczne powiązane z kontami użytkowników. Crunchyroll zdołało zablokować dostęp napastnikom w ciągu doby od wykrycia incydentu. Potwierdzenie ataku przez Sony/Crunchyroll nastąpiło 24 marca — ponad 10 dni po samym zdarzeniu.

Atak łańcucha dostaw w praktyce

To, co przydarzyło się Crunchyrollowi, jest klasycznym przykładem tzw. ataku na łańcuch dostaw (supply chain attack). Organizacja może inwestować miliony w zabezpieczenie własnych systemów, a i tak ucierpieć — bo hakerzy znaleźli słabsze ogniwo: zewnętrznego partnera, który miał dostęp do jej infrastruktury.

Tego rodzaju ataki są dziś jednymi z najgroźniejszych wektorów zagrożeń. Pamiętamy głośny przypadek SolarWinds (2020), gdzie złośliwy kod wstrzyknięty w aktualizację oprogramowania uderzył w tysiące organizacji — w tym agencje rządowe USA. Mechanizm jest podobny: zamiast atakować ofiarę bezpośrednio, hakerzy wybierają jej zaufanego dostawcę.

Co grozi użytkownikom?

Wykradzione dane obejmują adresy e-mail, adresy IP oraz — według doniesień — dane kart płatniczych. To zestaw, który może posłużyć do:

  • dalszych ataków phishingowych skrojonych pod konkretną osobę (spear phishing),
  • prób przejęcia kont w innych serwisach, jeśli użytkownik używa tego samego hasła,
  • nieautoryzowanych transakcji, jeśli dane kart trafiły w ręce przestępców.

Co powinieneś zrobić?

Jeśli masz konto na Crunchyroll, działaj niezwłocznie:

  • Zmień hasło — natychmiast, zwłaszcza jeśli używasz tego samego hasła gdzie indziej.
  • Sprawdź inne konta — jeśli jedno hasło służyło wielu serwisom, zmień je wszędzie.
  • Włącz uwierzytelnianie dwuskładnikowe (2FA) — to dodatkowa bariera, która utrudni przejęcie konta nawet po wycieku hasła.
  • Monitoruj wyciągi kart płatniczych — przez kilka najbliższych tygodni warto regularnie sprawdzać, czy nie pojawiają się nieznane transakcje.
  • Zgłoś kartę bankowi, jeśli obawiasz się jej kompromitacji — bank może wystawić nową bez dodatkowych kosztów.

Podsumowanie

Incydent z Crunchyrollem przypomina, że nasze dane są tak bezpieczne, jak najbardziej podatny na atak podwykonawca firm, którym je powierzamy. Phishing wciąż pozostaje najprostszą i najskuteczniejszą metodą wejścia do sieci korporacyjnych — jedna wiadomość e-mail, jeden nieodpowiednio przeszkolony pracownik, i miliony ludzi stają się potencjalnymi ofiarami. Jeśli korzystasz z Crunchyroll lub podobnych serwisów streamingowych — nie czekaj na oficjalne powiadomienie. Działaj proaktywnie.

źródło: https://techcrunch.com/2026/03/24/crunchyroll-confirms-data-breach-after-hacker-claims-unauthorized-access/ https://cybersecuritynews.com/crunchyroll-data-breach/

Cyberatak na Narodowe Centrum Badań Jądrowych — irański ślad i lekcja dla Polski
Irańscy hakerzy wymazali 200 000 urządzeń giganta medycznego Stryker