A filial de serviços digitais e otsourcing de Telus, conhecida como Telus Digital, reconheceu publicamente um incidente de segurança que, segundo os atacantes, comprometeu uma enorme quantidade de informações. A própria empresa confirmou a mídia que investiga um acesso não autorizado a “um número limitado de nossos sistemas” e que lançou medidas para conter a intrusão, contratar peritos forenses e notificar as autoridades competentes.
Os detalhes que saíram à luz vêm em boa parte da reivindicação de um grupo de extorsão conhecido como ShinyHunters, que assegura ter exfiltrado quase um petabyte de dados ao longo de vários meses. Esse número – se bem chamadotivo – não foi verificado de forma independente por terceiros e, portanto, deve ser tomado com cautela enquanto avança a pesquisa. Pode ser consultada a cobertura inicial e as declarações em meios especializados em cibersegurança, como BleepingComputer.
Telus Digital presta serviços críticos de outsourcing: atendimento ao cliente, moderação de conteúdo, preparação de dados para IA e operações de centros de contato. Essa concentração de funções faz com que os fornecedores de BPO sejam objetivos especialmente lucrativos para os atacantes, porque um único acesso pode revelar dados de múltiplas empresas e milhões de clientes. Telus disse que, por agora, suas operações permanecem “plenamente operacionais” e que não há evidência de interrupção na conectividade ou nos serviços ao cliente, enquanto continua a contenção.
Segundo a narrativa publicada pelos próprios atacantes, o ponto de partida foi o uso de credenciais do Google Cloud encontradas em dados filtrados em outro incidente: o fosso que afetou a integração Salesloft/Drift e que derivou no roubo de instâncias do Salesforce. Pesquisas de terceiros, como a publicada pela equipe de inteligência do Google/Mandiant, descrevem como essa informação roubada foi usada em cadeia para identificar segredos e acessos a outros serviços cloud; você pode ler uma análise no blog do Google Cloud sobre aquele incidente em cloud.google.com.
Os atacantes relatam que, com essas credenciais, acederam a numerosos sistemas da empresa, incluindo um grande ambiente de BigQuery, e que empregaram ferramentas de busca de segredos como trufflehog para localizar novos tokens e chaves que lhes permitiram traduzir dentro da infraestrutura e baixar volumes massivos de informação. Essa técnica de “credenciais a partir de credenciais” é uma tática recorrente em campanhas que derivam de vazamentos iniciais de dados em plataformas SaaS.
O conjunto de informações que ShinyHunters afirma ter é variado: desde dados de suporte e registros de chamadas de centros de contato até código fonte, antecedentes obtidos mediante processos de verificação, informação financeira, dados do Salesforce e gravações de conversas de suporte em voz. Entre os materiais que descrevem os atacantes haveria registros de metadados de chamadas (hora, duração, números envolvidos, qualidade da chamada) que, nas mãos erradas, podem facilitar fraudes de engenharia social ou vishing.
Além da ex-filtração, os atacantes iniciaram uma campanha de extorsão. De acordo com as reivindicações do grupo, em fevereiro exigiram 65 milhões de dólares para não divulgar os dados roubados; Telus, por sua vez, segundo fontes citadas, não teria negociado com os extorsionadores e optou pela pesquisa forense e a notificação, de acordo com a determinação do avanço das indagações. A empresa informou que implementou medidas adicionais de segurança e que comunicará aos clientes afetados na medida em que a sua exposição é confirmada.
ShinyHunters não é um ator novo no panorama: nos últimos anos tem se ligado a múltiplas campanhas de serviços na nuvem e plataformas SaaS, especialmente orientadas para obter e monetizar dados do Salesforce, Google Workspace e outros ecossistemas empresariais. Também foram documentadas táticas mistas como o vishing (chamadas que suplantam suporte técnico para roubar credenciais e códigos MFA) e o abuso de tokens de autenticação para controlar contas SSO, permitindo-lhes mover-se lateralmente por ambientes ligados a serviços corporativos. Coberturas especializadas analisaram a evolução e objetivos deste grupo, por exemplo, BleepingComputer.
Para clientes e empresas que dependem de fornecedores de BPO, este episódio destaca uma lição recorrente: a segurança da cadeia de valor digital importa tanto quanto a segurança própria. Rever políticas de acesso e gerenciamento de segredos, aplicar segmentação estrita entre serviços, rotar credenciais e adotar sistemas de detecção precoce em ambientes cloud são medidas indispensáveis. Ao mesmo tempo, as organizações devem preparar-se para responder a incidentes que não só afetam seus sistemas, mas também aos de terceiros que armazenam ou processam suas informações.
Do ponto de vista dos usuários finais, a exposição de gravações de chamadas, histórias de suporte ou dados de faturamento aumenta o risco de fraudes direcionadas. É recomendável manter-se alerta para comunicações suspeitas, ativar autenticação multifator em todos os serviços que o permitam e verificar diretamente com os fornecedores oficiais qualquer pedido de informação sensível.
Enquanto a pesquisa continua e Telus trabalha com peritos e forças de segurança, permanece a incógnita sobre o alcance real do roubo e a identidade final das empresas afetadas. A empresa comprometeu-se a notificar os clientes chocados “conforme apropriado” uma vez que se esclarece quais dados foram expostos. Continuaremos pendentes das actualizações públicas e dos relatórios forenses que permitam confirmar o volume e a natureza exacta da informação comprometida.
Para aprofundar os antecedentes técnicos e contextuais deste caso, as análises e notícias de referência podem ser consultadas: a cobertura do incidente por parte do evento BleepingComputer, a desagregação do incidente Salesloft/Drift no blog Google Cloud/Mandiant e documentação de ferramentas mencionadas pelos atacantes, como trufflehog.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...