Один із найбільших канадських BPO-провайдерів Telus Digital, що входить до структури телеком-гіганта Telus, підтвердив факт кібератаки та витоку даних. На цьому тлі заява угруповання ShinyHunters про викрадення майже петабайта інформації робить інцидент одним з найпомітніших зламів аутсорсингового провайдера за останні роки.
Кібератака на Telus Digital: підтверджений витік даних BPO‑провайдера
Telus Digital спеціалізується на BPO‑послугах (Business Process Outsourcing): підтримці клієнтів, модерації контенту, розгортанні й супроводі AI‑рішень, а також інших операційних сервісах для компаній по всьому світу. Такий профіль означає концентрацію значних масивів клієнтських даних і доступів до сторонніх корпоративних систем, що робить провайдера привабливою ціллю для атак на ланцюг поставок.
За інформацією BleepingComputer, перші ознаки зламу з’явилися ще в січні 2026 року, однак публічне підтвердження з боку Telus Digital пролунало пізніше. Компанія повідомила про несанкціонований доступ до обмеженої кількості систем, запуск внутрішнього розслідування, залучення фахівців з цифрової криміналістики та правоохоронних органів. При цьому основні бізнес‑процеси, за заявою Telus, продовжують працювати у штатному режимі.
Як хакери отримали доступ до Google Cloud та BigQuery
Компрометовані облікові записи GCP і пов’язані сервіси
ShinyHunters стверджують, що початковий доступ до інфраструктури Telus був отриманий через облікові дані Google Cloud Platform (GCP), знайдені у вже викрадених раніше масивах інформації. Ці облікові записи, за їхніми словами, були витягнуті з даних, здобутих унаслідок зламу платформи Salesloft Drift, який призвів до компрометації Salesforce-даних понад 700 компаній, включно з тикетами підтримки.
Експерти Mandiant раніше попереджали, що набори даних, викрадені під час атак на Salesloft Drift та суміжні сервіси, цілеспрямовано аналізуються зловмисниками на наявність логінів, токенів доступу та ключів API. Такі «цифрові ключі» дозволяють обійти класичний мережевий периметр і безпосередньо проникнути в хмарні середовища інших організацій.
TruffleHog, BigQuery і латеральний рух по інфраструктурі
Отримавши початковий доступ до GCP‑оточення Telus, включно з великим інстансом BigQuery (аналітична платформа Google для обробки великих даних), атакувальники, за власними словами, застосували опенсорсний інструмент TruffleHog. Він автоматично сканує репозиторії коду, конфігураційні файли та журнали на предмет паролів, токенів та інших секретів, випадково залишених розробниками або адміністраторами.
Комбінація великих обсягів даних у хмарі та неналежно захищених секретів дала змогу ShinyHunters розширити привілеї, виконати латеральне переміщення до інших систем і поетапно вивантажувати нові масиви інформації з різних середовищ Telus Digital.
Масштаб викрадених даних і вплив на клієнтів Telus
За твердженням хакерів, їм вдалося завантажити майже петабайт даних, що належать як самому Telus Digital, так і численним корпоративним клієнтам BPO-напрямку. Журналісти отримали від ShinyHunters перелік із 28 відомих брендів, які нібито постраждали, але не розкривають його через відсутність незалежної верифікації.
До ймовірно викраденої інформації входять:
- дані служб підтримки та кол-центрів;
- показники ефективності операторів і агентів;
- конфіденційні AI‑інструменти для роботи з клієнтами та антифрод‑модулі;
- системи й дані для модерації контенту;
- фрагменти вихідного коду внутрішніх застосунків;
- результати background checks, фінансові документи, записи Salesforce;
- аудіозаписи дзвінків до контакт‑центрів.
Окремо йдеться про вплив на телеком‑бізнес Telus: зловмисники заявляють про отримання Call Detail Records (CDR) з метаданими дзвінків (час, тривалість, номери, параметри якості зв’язку), голосових записів та даних щодо маркетингових кампаній.
Supply chain‑ризики та ключові уроки кібербезпеки для BPO
Інцидент із Telus Digital демонструє класичну атаку на ланцюг поставок (supply chain attack): компрометація одного великого провайдера послуг відкриває шлях до десятків або сотень клієнтів, які делегують йому доступ до власних систем аутентифікації, білінгу та клієнтських баз. За даними звіту Verizon Data Breach Investigations Report 2024, викрадення та зловживання обліковими даними залишаються одним із провідних чинників успішних атак — кейс Telus лише підтверджує цю статистику.
Ситуація підкреслює необхідність системного управління цифровими секретами та доступами, особливо в хмарі та BPO‑моделі:
- Гігієна облікових даних. Регулярна ротація паролів і ключів, заборона «жорстко прошитих» секретів у коді, використання секрет‑менеджерів у GCP, AWS, Azure.
- МФА та захист критичних операцій. Обов’язкова багатофакторна аутентифікація та додаткове підтвердження для високоризикових дій в адмін‑консолях і CI/CD‑процесах.
- Принцип найменших привілеїв. Мінімізація прав сервісних акаунтів, сегментація хмарної інфраструктури, ізоляція середовищ розробки й продакшн.
- Моніторинг і аудит у хмарі. Безперервне відстеження аномальної активності в GCP, BigQuery та інших сервісах, централізовані журнали аудиту.
- Оцінка безпеки підрядників. Регулярні аудити BPO‑провайдерів, включення вимог до кіберстійкості та реагування на інциденти в контракти.
ShinyHunters заявляють, що у лютому 2026 року намагалися шантажувати Telus, вимагаючи 65 млн доларів США за нерозповсюдження викрадених даних. Відповіді на ультиматум, за їхніми словами, не було. Такий підхід без шифрування інфраструктури, але з акцентом на публікацію чутливої інформації, відображає тренд на «чисте вимагання» (data extortion), яке може завдати бізнесу не меншої шкоди, ніж класичний ransomware.
Історія з Telus Digital показує, що організаціям, які покладаються на BPO та хмарні платформи, необхідно вже зараз переглянути підхід до безпеки: будувати Zero Trust-архітектуру, управляти секретами як критичними активами, системно перевіряти підрядників і навчати персонал безпечній роботі з хмарою. Чим раніше компанії впровадять ці практики, тим менше шансів опинитися наступною ланкою у подібній багатоступеневій атаці.
