Crunchyroll数据泄露：威胁行为者声称窃取100 GB用户数据

一名威胁行为者据称从索尼旗下的动漫流媒体巨头Crunchyroll窃取了约100 GB的个人身份信息，其入侵途径是通过该平台外包合作伙伴Telus的一名受感染员工。

据报道，该泄露事件发生于2026年3月12日，截至本文撰写时，Crunchyroll尚未公开承认此事。

据联系Cyber Digest的威胁行为者称，此次入侵之所以成为可能，是因为Crunchyroll的业务流程外包合作伙伴Telus的一名员工在其工作站上执行了恶意软件。

此次感染使攻击者得以在Crunchyroll的内部环境中立足，从而能够横向移动至面向客户的敏感系统，包括公司的工单系统基础设施。

此攻击媒介与2026年3月12日确认的Telus Digital事件中观察到的更广泛模式相符。在该事件中，威胁行为者声称窃取了Telus以及众多依赖该公司提供客户支持、AI数据运营和内容审核等BPO服务的公司的数据。

由于BPO提供商在多个客户环境中处理身份验证和计费工具，它们对于试图通过一次入侵最大化攻击范围的威胁行为者而言，仍然是高价值目标。

攻击者的数据窃取行为
Cyber Digest分析了威胁行为者提供的一份泄露数据样本，其中包含高度敏感的客户信息类别，包括：

• IP地址
  
  
• 电子邮件地址
  
  
• 信用卡详细信息
  
  
• 客户分析数据（个人身份信息）
  

该威胁行为者声称，总计100 GB的数据是从Crunchyroll的客户分析环境和工单系统中窃取的。泄露数据的性质对受影响用户构成了身份盗窃、金融欺诈和针对性网络钓鱼活动的重大风险。



该威胁行为者表示，Crunchyroll在2026年3月12日最初发生入侵约24小时后检测到并撤销了其访问权限。尽管访问窗口期相对较短，但被窃取的数据量表明攻击者事先已计划好此次行动，并在进入后迅速行动。

或许更令人担忧的是，该威胁行为者告诉Cyber Digest，Crunchyroll一直无视所有关于此事件的沟通，并且未向受影响的客户进行任何公开披露。

鉴于Crunchyroll在2026年初已因涉嫌未经授权与第三方营销平台共享用户观看数据而面临集体诉讼，这种沉默尤其令人担忧。

截至本文发稿时，Crunchyroll尚未回应置评请求。Cyber Security News将持续追踪这一事态的发展。