Vietnam Airlines Breach

In early October 2025, Vietnam Airlines appeared on the leak site of a group calling itself Scattered LAPSUS$ Hunters, the same crew responsible for the mass Salesforce-linked exposures affecting major retail and hospitality brands. The group claimed to have obtained the data through a compromise of Vietnam Airlines’ Salesforce environment earlier in the year.

On October 10, the actors posted what they described as the full Vietnam Airlines dataset. Our independent parse identified 8.1 million unique phone numbers and 7.4 million unique email addresses contained in the leak-consistent with a large-scale customer CRM export.

Breach unveiled

The airline’s listing surfaced during the campaign’s second wave, when Scattered LAPSUS$ Hunters dumped data for roughly forty organizations over several days in October 2025. Structural markers in the archive-Salesforce object IDs, region tags, and loyalty-program fields-match the CRM signatures seen across other victims in this campaign, suggesting a common exfiltration method.

What’s in the data

Preliminary analysis indicates that the dump includes:

• Customer contact information (names, emails, phone numbers)
• Dates of birth

While no payment data is evident, the dataset exposes personally identifiable information at scale.

Confirmation status

As of publication, Vietnam Airlines has not publicly confirmed a security incident. The airline’s website and social channels remain silent, and no official breach notification has been posted.

Why this matters

The exposure of loyalty-program and contact data poses clear risks for phishing, account takeover, and travel-related fraud. The scale-over eight million unique phones-makes this one of the largest airline CRM leaks observed in 2025.

Đầu tháng 10 năm 2025, Vietnam Airlines xuất hiện trên trang web rò rỉ của một nhóm tự xưng là Scattered LAPSUS$ Hunters, cùng nhóm chịu trách nhiệm cho các vụ rò rỉ dữ liệu hàng loạt liên quan đến Salesforce, ảnh hưởng đến các thương hiệu bán lẻ và khách sạn lớn. Nhóm này tuyên bố đã lấy được dữ liệu thông qua một vụ xâm nhập vào môi trường Salesforce của Vietnam Airlines hồi đầu năm.

Vào ngày 10 tháng 10, các tác nhân đã đăng tải những gì chúng mô tả là toàn bộ tập dữ liệu của Vietnam Airlines. Phân tích độc lập của chúng tôi đã xác định được 8,1 triệu số điện thoại riêng biệt và 7,4 triệu địa chỉ email riêng biệt có trong vụ rò rỉ - phù hợp với việc xuất dữ liệu CRM khách hàng quy mô lớn.

Vụ rò rỉ bị phát hiện
Danh sách của hãng hàng không này xuất hiện trong đợt thứ hai của chiến dịch, khi Scattered LAPSUS$ Hunters đã rò rỉ dữ liệu của khoảng bốn mươi tổ chức trong nhiều ngày vào tháng 10 năm 2025. Các dấu hiệu cấu trúc trong kho lưu trữ - ID đối tượng Salesforce, thẻ khu vực và các trường chương trình khách hàng thân thiết - khớp với chữ ký CRM được thấy trên các nạn nhân khác trong chiến dịch này, cho thấy một phương thức rò rỉ chung.

Nội dung dữ liệu
Phân tích sơ bộ cho thấy dữ liệu bị rò rỉ bao gồm:

Thông tin liên hệ của khách hàng (tên, email, số điện thoại)
Ngày sinh
Mặc dù không có dữ liệu thanh toán nào được công bố, nhưng tập dữ liệu này đã tiết lộ thông tin nhận dạng cá nhân ở quy mô lớn.

Trạng thái xác nhận
Tính đến thời điểm công bố, Vietnam Airlines chưa chính thức xác nhận sự cố bảo mật. Trang web và các kênh mạng xã hội của hãng vẫn im lặng, và chưa có thông báo vi phạm chính thức nào được đăng tải.

Tại sao điều này lại quan trọng
Việc tiết lộ dữ liệu chương trình khách hàng thân thiết và thông tin liên hệ gây ra rủi ro rõ ràng cho lừa đảo, chiếm đoạt tài khoản và gian lận liên quan đến du lịch. Quy mô - hơn tám triệu điện thoại riêng biệt - khiến đây trở thành một trong những vụ rò rỉ CRM hàng không lớn nhất được ghi nhận trong năm 2025.

Our analysis based on sample -

🧍 Personal Information

• Full name - ✅ Present
• Phone number - ✅ Present
• Email address - ✅ Present
• Date of birth - ✅ Present
• Year of birth - ✅ Present
• Age - ✅ Present
• Gender - ⛔ Empty
• Nationality - ⛔ Empty

🏢 Business / Corporate Fields (B2B)

• Corporate / position designation - ✅ Present
• Account status - ✅ Present
• Year - ✅ Present
• Tax name - ⛔ Empty
• Tax address - ⛔ Empty
• Company / bank / guarantor fields - ⛔ Empty
• Booking office address - ⛔ Empty
• Cargo address / contact info - ⛔ Empty

💳 Account & Loyalty Data

• CRM contact ID - ✅ Present
• Record type - ✅ Present
• Lotusmiles or loyalty number - ⛔ Empty
• Tier level - ⛔ Empty
• Last travel date - ⛔ Empty

📧 Contact & Communication

• Personal email - ✅ Present
• Alternate or company emails - ⛔ Empty
• Tax email - ⛔ Empty
• Physical / mailing address - ⛔ Empty
• Preferred language - ⛔ Empty

⚙️ System Metadata

• Record creation date - ✅ Present
• Record modification date - ✅ Present
• SystemModstamp - ✅ Present
• Created by ID - ✅ Present
• Last modified by ID - ✅ Present
• Owner ID - ✅ Present
• Record type ID - ✅ Present
• Currency - ✅ Present
• Owner last name (integration user) - ✅ Present
• Data source fields - ✅ Present

💬 Marketing & Subscription

• Insider subscription field - ✅ Present
• Opt-in / opt-out flags - ⛔ Empty