Канадский аутсорсинговый провайдер Telus Digital, входящий в состав телеком-оператора Telus, подтвердил факт кибератаки и утечки данных. На фоне заявления хакерской группировки ShinyHunters о хищении почти петабайта информации инцидент уже называют одним из наиболее значимых случаев компрометации BPO-провайдера за последние годы.
Кибератака на Telus Digital: что произошло
Telus Digital специализируется на BPO-услугах (Business Process Outsourcing): обслуживании клиентов, модерации контента, внедрении и поддержке ИИ-сервисов, а также иных аутсорсинговых операциях для компаний по всему миру. Такой профиль делает провайдера высокоценной целью: через одного подрядчика злоумышленники потенциально получают доступ сразу к множеству корпоративных систем и клиентских данных.
По данным издания Bleeping Computer, о возможном взломе стало известно еще в январе 2026 года, однако тогда компания публично ситуацию не комментировала. Теперь Telus Digital официально подтвердила инцидент, заявив о несанкционированном доступе к ограниченному числу систем и запуске внутреннего расследования с привлечением специалистов по киберкриминалистике и правоохранительных органов.
В компании подчеркивают, что основные бизнес-операции продолжаются в штатном режиме, а подозрительная активность была оперативно блокирована. Тем не менее масштабы заявленной утечки предполагают длительное и многоэтапное проникновение в инфраструктуру Telus Digital.
Как хакеры проникли в инфраструктуру Telus Digital
Компрометация Google Cloud и BigQuery
По утверждению участников группировки ShinyHunters, доступ к системам Telus был получен через учетные данные Google Cloud Platform (GCP), обнаруженные в уже похищенной ранее информации. Эти данные, как сообщается, были извлечены из массива, украденного во время взлома платформы Salesloft Drift, после которого были скомпрометированы данные в Salesforce у 760 компаний, включая тикеты служб поддержки.
Эксперты компании Mandiant ранее предупреждали, что массивы, похищенные при атаках на Salesloft Drift и связанные сервисы, активно анализировались злоумышленниками на наличие учетных записей, токенов доступа и ключей API. Именно такие «цифровые ключи» нередко становятся стартовой точкой для дальнейших атак на другие организации и облачные среды.
Поиск секретов с помощью TruffleHog
Получив первичный доступ к облачной инфраструктуре Telus, включая крупный инстанс BigQuery, атакующие, по их словам, использовали опенсорсный инструмент TruffleHog. Этот инструмент сканирует коды и конфигурации в поисках паролей, токенов и других чувствительных данных.
Наличие в облаке «токсичной» комбинации — обширных данных и неправильно защищенных секретов — позволило хакерам расширить доступ, переместиться в другие системы компании (латеральное перемещение) и систематически выгружать все новые массивы информации.
Объем и характер похищенных данных
ShinyHunters утверждают, что в результате атаки смогли скачать почти петабайт данных, принадлежащих как самой Telus Digital, так и ее многочисленным корпоративным клиентам по BPO-направлению. Журналисты Bleeping Computer получили от злоумышленников список из 28 известных брендов, якобы затронутых инцидентом, однако не публикуют его из-за отсутствия независимого подтверждения.
Среди похищенной информации, по заявлениям хакеров, присутствуют:
- данные клиентской поддержки и колл-центров;
- рейтинги и метрики эффективности агентов;
- конфиденциальные ИИ-инструменты для работы с клиентами и антифрод-системы;
- решения и данные для модерации контента;
- исходный код внутренних систем;
- результаты проверок ФБР (background checks), финансовые документы, данные Salesforce;
- записи телефонных разговоров со службой поддержки.
Отдельно отмечается, что атака затронула и телеком-бизнес Telus. Злоумышленники заявляют о краже детализации телефонных звонков (Call Detail Records) с метаданными — временем, длительностью, номерами, параметрами качества связи, а также голосовых записей и информации о маркетинговых кампаниях.
Риски для клиентов BPO и цепочек поставок
Инцидент вокруг Telus Digital демонстрирует типичный сценарий атаки на цепочку поставок (supply chain attack). Компрометация одного крупного BPO-провайдера способна затронуть десятки и сотни компаний, которые передают ему доступ к своим клиентам, биллингу и внутренним системам аутентификации.
По данным ежегодного отчета Verizon Data Breach Investigations Report 2024, кража и злоупотребление учетными данными остаются одним из ключевых факторов успешных взломов. Инцидент с Telus Digital фактически иллюстрирует эту тенденцию: первоначальный вектор — уже скомпрометированные облачные учетные записи — позволил злоумышленникам обойти классические периметровые средства защиты.
Ключевые уроки и рекомендации по кибербезопасности
Ситуация вокруг Telus Digital подчеркивает важность комплексного управления цифровыми секретами и доступами, особенно в контексте облачных платформ и BPO-модели:
- Жесткая гигиена учетных данных. Регулярная ротация паролей и ключей, отказ от жестко прописанных секретов в коде, применение менеджеров секретов в GCP, AWS, Azure.
- Многофакторная аутентификация (MFA) и привязка высокочувствительных операций к дополнительному подтверждению.
- Принцип наименьших прав (least privilege). Ограничение доступа сервисных аккаунтов только необходимыми разрешениями, сегментация облачной инфраструктуры.
- Непрерывный мониторинг и журналы аудита. Отслеживание аномалий в активности учетных записей и сервисов, особенно в облаке и BigQuery-проектах.
- Оценка рисков подрядчиков. Включение BPO-провайдеров и контакт-центров в программы аудита безопасности и тестов на устойчивость к инцидентам.
По заявлениям ShinyHunters, в феврале 2026 года они попытались шантажировать Telus, потребовав 65 млн долларов США за нераспространение данных. Представители компании, по словам злоумышленников, на требования не ответили. Подобная модель давления — без шифрования, но с угрозой публикации — отражает тренд на «чистое вымогательство» (data extortion), когда утечка чувствительной информации наносит не меньший ущерб, чем классический ransomware.
Инцидент с Telus Digital показывает, насколько критично для бизнеса любого масштаба выстраивать устойчивую к атакам экосистему — не только внутри собственной организации, но и по всей цепочке поставок. Регулярные аудиты безопасности подрядчиков, внедрение Zero Trust-подхода, управление секретами и обучение персонала работе с облачными ресурсами становятся не опцией, а необходимым условием сохранения репутации и непрерывности операций. Компании, полагающиеся на BPO и облачные сервисы, уже сегодня могут пересмотреть свои договоры, процессы и технические меры, чтобы не оказаться следующими в цепочке подобных многоэтапных атак.
