Telus Digital Services und Outsourcing-Tochter, bekannt als Tel., hat öffentlich einen Sicherheitsvorfall erkannt, dass die Angreifer eine große Menge von Informationen kompromittiert. Das Unternehmen selbst bestätigte den Medien, dass es unautorisierten Zugriff auf "eine begrenzte Anzahl unserer Systeme" untersucht und Maßnahmen zur Eindämmung, Vermietung von Forensikern eingerichtet hat und die zuständigen Behörden benachrichtigt hat.
Die Details, die zum Licht gekommen sind, kommen in einem großen Teil des Anspruchs einer Erpressungsgruppe bekannt als Glänzende Jäger, die behauptet, fast ein Petabyte von Daten über mehrere Monate ausgefiltert zu haben. Diese Zahl - obwohl auffällig - wurde von Dritten nicht unabhängig überprüft und sollte daher mit Vorsicht als die Untersuchung fortgeführt werden. Erste Berichterstattung und Aussagen finden Sie in Medien, die auf Cybersicherheit spezialisiert sind, wie BlepingComputer.
Telus Digital bietet kritische Outsourcing-Dienste: Kundenbetreuung, Content Moderation, Datenaufbereitung für IA- und Contact Center-Betriebe. Diese Konzentration von Funktionen macht BPO-Anbieter besonders lukrative Ziele für Angreifer, weil ein einziger Zugriff Daten von mehreren Unternehmen und Millionen von Kunden zeigen kann. Telus hat gesagt, dass seine Vorgänge "vollständig betriebsbereit" bleiben und dass es keine Anzeichen für Unterbrechung der Konnektivität oder Kundendienste gibt, da die Eindämmung weitergeht.
Nach der von den Angreifern selbst veröffentlichten Erzählung war der Ausgangspunkt die Verwendung von Google Cloud-Anmeldeinformationen, die in einem anderen Vorfall in gefilterten Daten gefunden wurden: die Lücke, die die SalSlovak / Drift-Integration beeinflusste und die zu dem Diebstahl von Salesforce-Instanzen führte. Forschung durch Dritte, wie vom Google / Mandiant Intelligence Team veröffentlicht, beschreiben, wie diese gestohlenen Informationen in einer Kette verwendet wurden, um Geheimnisse und Zugriff auf andere Cloud-Dienste zu identifizieren; eine Analyse kann auf Google Clouds Blog über diesen Vorfall in Pressemitteilungen.
Die Angreifer berichten, dass sie mit diesen Anmeldeinformationen auf zahlreiche Systeme des Unternehmens zugreifen, einschließlich einer großen BigQuery-Umgebung, und dass sie Werkzeuge zur Suche nach Geheimnissen wie Trüffelho neue Token und Schlüssel zu finden, die es ihnen erlaubt, innerhalb der Infrastruktur zu schwenken und riesige Mengen von Informationen herunterzuladen. Diese Technik von "Credentials from Anmeldeinformationen" ist eine wiederkehrende Taktik in Kampagnen, die von anfänglichen Datenlecks auf SaaS-Plattformen ableiten.
Die Menge der Informationen, die ShinyHunters behauptet zu haben, ist vielfältig: von Support-Daten und Anrufaufzeichnungen von Kontaktzentren bis Quellcode, Hintergrund durch Verifikationsprozesse, Finanzinformationen, Salesforce-Daten und Sprachunterstützung Gesprächsaufzeichnungen. Unter den Materialien, die die Angreifer beschreiben würde es Aufzeichnungen von Anruf-Metadaten (Zeit, Dauer, Zahlen beteiligt, Qualität des Anrufs), dass in den falschen Händen, kann Social Engineering-Betrug oder Vernichtung erleichtern.
Neben der Exfiltration starteten die Angreifer eine Erpressungskampagne. Nach dem Panel & apos; s Behauptungen, im Februar verlangten sie 65 Millionen Dollar, die gestohlenen Daten nicht offenzulegen; Telus, für seinen Teil, nach den genannten Quellen, hätte nicht mit den Erpressern ausgehandelt und hatte sich für forensische Untersuchung und Benachrichtigung gemäß dem Fortschritt der Untersuchungen entschieden. Das Unternehmen hat berichtet, dass es zusätzliche Sicherheitsmaßnahmen umgesetzt hat und dass es die betroffenen Kunden darüber informieren wird, inwieweit ihr Risiko bestätigt wird.
ShinyHunters ist kein neuer Schauspieler auf dem Bild: In den letzten Jahren ist er mit mehreren Kampagnen verbunden, die auf Cloud-Services und SaaS-Plattformen ausgerichtet sind, vor allem auf die Gewinnung und Monetarisierung von Daten von Salesforce, Google Workspace und anderen Business-Ökosystemen. Es wurden auch gemischte Taktiken, wie z.B. das Verderben (die technische Unterstützung für die Verschlüsselung von Anmeldeinformationen und MFA-Codes) und der Missbrauch von Authentifizierungs-Token, um die Kontrolle von SSO-Konten zu übernehmen, dokumentiert, so dass sie sich seitlich durch Umgebungen bewegen, die mit Unternehmensdienstleistungen verbunden sind. Eine spezielle Abdeckung hat die Entwicklung und die Ziele dieser Gruppe analysiert, zum Beispiel in BlepingComputer.
Für Kunden und Unternehmen, die von BPO-Lieferanten abhängen, zeigt diese Episode eine wiederkehrende Lektion: die Sicherheit der digitalen Wertschöpfungskette ist genauso wichtig wie die Selbstsicherheit. Zur Überprüfung der Zugangs- und Geheimverwaltungspolitiken sind strenge Segmentierung zwischen Dienstleistungen, rotierende Anmeldeinformationen und frühzeitige Erkennungssysteme in Cloud-Umgebungen unerlässlich. Gleichzeitig sollten sich Organisationen darauf vorbereiten, auf Vorfälle zu reagieren, die nicht nur ihre Systeme betreffen, sondern auch diejenigen von Dritten, die ihre Informationen speichern oder verarbeiten.
Aus Sicht der Endnutzer erhöht die Exposition von Anrufaufzeichnungen, Support-Aufzeichnungen oder Abrechnungsdaten das Risiko eines gezielten Betrugs. Es wird empfohlen, auf verdächtige Kommunikation aufmerksam zu bleiben, Multifaktor-Authentifizierung in allen Dienstleistungen zu aktivieren, die es erlauben und direkt mit offiziellen Lieferanten alle Anträge auf sensible Informationen zu überprüfen.
Während die Untersuchung weitergeht und Telus mit Experten und Sicherheitskräften arbeitet, bleibt sie über das tatsächliche Ausmaß des Diebstahls und die endgültige Identität der betroffenen Unternehmen unbemerkt. Das Unternehmen hat versprochen, die betroffenen Kunden "als angemessen" zu benachrichtigen, sobald geklärt wurde, welche Daten offengelegt wurden. Wir werden weiterhin anstehende öffentliche Updates und Forensic-Berichte zur Bestätigung des Volumens und der genauen Art der Informationen bleiben.
Um den technischen und kontextuellen Hintergrund dieses Falles weiterzubilden, stehen Referenzanalysen und Nachrichten zur Verfügung: BlepingComputer, die Aufschlüsselung der SalSlovak / Drift Zwischenfall auf dem Blog von Google Cloud / Mandiant und Dokumentation von Werkzeugen, die von den Angreifern erwähnt wurden, wie Trüffelho.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...