Ngày 11/10, nhóm tin tặc Scattered Lapsus$ Hunters tuyên bố đã tiết lộ hồ sơ cá nhân của 5 triệu khách hàng của hãng hàng không Qantas lớn nhất Australia (Ôx-trây-li-a) trên trang web ẩn danh, sau khi thời hạn đòi tiền chuộc đã qua.
Hãng hàng không này là một trong hơn 40 công ty trên toàn cầu bị ảnh hưởng bởi vụ tấn công được cho là liên quan tới 1 tỷ hồ sơ khách hàng.
Trong tuần trước, nhóm tin tặc này đã đăng một thông báo tống tiền trên một trang web công bố dữ liệu ẩn danh, yêu cầu tiền chuộc để đổi lấy việc ngăn chặn việc chia sẻ dữ liệu bị đánh cắp.
Nhóm này cho biết đã đánh cắp gần 1 tỷ hồ sơ từ công ty công nghệ đám mây Salesforce bằng cách nhắm vào những doanh nghiệp sử dụng phần mềm của công ty này và cho hay các dữ liệu lấy được chứa thông tin nhận dạng cá nhân.
Nhóm này cũng tuyên bố nhận trách nhiệm cho các vụ tấn công bằng mã độc (ransomware) nhằm vào các nhà bán lẻ lớn của Anh như Marks & Spencer, Co-op và Jaguar Land Rover hồi đầu năm nay.
Dữ liệu của Qantas, bị đánh cắp từ cơ sở dữ liệu Salesforce trong một cuộc tấn công mạng lớn hồi tháng 6/2025, bao gồm địa chỉ email, số điện thoại, ngày sinh và mã số khách hàng thường xuyên.
Dữ liệu không chứa thông tin chi tiết về thẻ tín dụng, thông tin tài chính hoặc hộ chiếu. Ngày 11/10, nhóm tin tặc đã đánh dấu dữ liệu là "bị rò rỉ."
Ông Jeremy Kirk, Tổng biên tập của Cyber Threat Intelligence, cho biết 44 công ty đã bị ảnh hưởng của vụ rò rỉ thông tin, trong đó có Gap, Toyota, Disney, McDonald’s, Ikea và Adidas.
Ông cho biết nhóm tin tặc trên rất nổi tiếng và hoạt động tại những quốc gia như Mỹ, Vương quốc Anh và Australia. Ông cho biết không có dữ liệu tài chính nào bị rò rỉ, nhưng tội phạm có thể lợi dụng thông tin cá nhân bị rò rỉ để mở thẻ tín dụng. Ông khuyến nghị mọi người nên theo dõi tài khoản của mình để phát hiện các hoạt động đáng ngờ và cảnh giác với các email lừa đảo được cá nhân hóa.
Người phát ngôn của Qantas trước đó đã nói với Guardian Australia rằng ưu tiên của hãng là "tiếp tục cảnh giác và liên tục hỗ trợ khách hàng" sau vụ tấn công vào tháng 6/2025.
Hãng hiện đang điều tra các trang web ẩn danh để xác minh xem hồ sơ khách hàng có bị rò rỉ hay không.
Trong khi đó, người phát ngôn của Salesforce nói công ty "sẽ không tham gia, đàm phán hoặc trả bất kỳ khoản tiền tống tiền nào." Công ty cho biết trong một tuyên bố rằng không có dấu hiệu nào cho thấy nền tảng Salesforce đã bị xâm phạm.
Dữ liệu toàn cầu được cho là đã bị đánh cắp trong khoảng thời gian từ tháng 4/2024 đến tháng 9/2025, bao gồm thông tin cá nhân và thông tin liên lạc của khách hàng và nhân viên của các công ty, bao gồm ngày sinh, lịch sử mua hàng và số hộ chiếu.
Một trong các tin tặc, tự xưng là Shiny, cho biết Scattered Lapsus$ Hunters không trực tiếp tấn công Salesforce, mà nhắm vào khách hàng của nền tảng này bằng phương thức “vishing” - hay voice phishing - một hình thức lừa đảo qua điện thoại, trong đó tin tặc giả mạo nhân viên và gọi điện đến bộ phận hỗ trợ công nghệ thông tin.
Vào tháng 6/2025, các nhà nghiên cứu an ninh mạng của công ty công nghệ Google cho biết nhóm tin tặc mà họ theo dõi dưới tên “UNC6040” đặc biệt hiệu quả trong việc đánh lừa nhân viên bằng cách cài đặt một phiên bản đã bị chỉnh sửa của Data Loader của Salesforce, một công cụ độc quyền được dùng để nhập dữ liệu hàng loạt vào môi trường Salesforce.
Trong tháng 7/2025, cảnh sát Anh đã bắt 4 đối tượng dưới 21 tuổi trong khuôn khổ cuộc điều tra các vụ tấn công mạng đã làm gián đoạn hoạt động của các nhà bán lẻ tại Anh.
