Um possível vazamento de dados da Telus Digital colocou a empresa no centro de uma nova investigação internacional de segurança cibernética. A companhia confirmou que está analisando um incidente envolvendo sua infraestrutura em nuvem, após o grupo de hackers ShinyHunters afirmar que conseguiu extrair cerca de 1 petabyte de informações corporativas.
A alegação rapidamente chamou atenção de especialistas em segurança digital devido à escala do possível roubo de dados. Caso confirmado, esse seria um dos maiores incidentes recentes envolvendo serviços corporativos hospedados na Google Cloud Platform.
A Telus Digital, divisão tecnológica da empresa canadense Telus, atua globalmente oferecendo serviços de BPO, suporte técnico, moderação de conteúdo e soluções baseadas em inteligência artificial. A empresa opera com grandes volumes de dados para clientes corporativos, o que aumenta a preocupação sobre o impacto potencial do incidente.
Investigadores de segurança indicam que o possível vazamento de dados da Telus Digital teria sido resultado de um ataque em cadeia envolvendo credenciais comprometidas, ferramentas automatizadas de descoberta de segredos e exploração de recursos na nuvem.
A anatomia do ataque: O efeito cascata
O incidente que levou ao vazamento de dados da Telus Digital parece ter seguido um padrão comum em ataques modernos contra infraestruturas corporativas: o chamado efeito cascata.
Nesse tipo de cenário, o ataque não começa diretamente no sistema principal da empresa. Em vez disso, invasores exploram credenciais ou integrações com serviços externos, utilizando esses pontos de acesso para alcançar ambientes mais sensíveis.
De acordo com análises preliminares, o ponto inicial do ataque pode ter sido credenciais associadas à plataforma Salesloft Drift, utilizada em processos de comunicação e automação de interações com clientes.
Embora a ferramenta não faça parte diretamente da infraestrutura central da empresa, sistemas corporativos frequentemente mantêm integrações entre plataformas de comunicação, ferramentas de vendas e serviços em nuvem.
Uma vez em posse dessas credenciais, os hackers teriam conseguido identificar integrações que permitiram acesso indireto a recursos hospedados na Google Cloud Platform. Esse movimento lateral é uma técnica comum em ataques avançados e permite que invasores ampliem gradualmente seu nível de acesso dentro de uma infraestrutura digital.
A partir desse ponto, o incidente deixou de ser apenas um comprometimento de credenciais e passou a envolver exploração ativa de recursos da nuvem corporativa.
O papel do BigQuery e do Trufflehog
Após obter acesso inicial à Google Cloud Platform, os invasores teriam identificado bases de dados e ferramentas de análise utilizadas pela empresa, incluindo ambientes ligados ao BigQuery.
O BigQuery é um serviço de análise de dados em larga escala que permite executar consultas rápidas sobre enormes volumes de informação. Empresas que trabalham com suporte técnico, moderação de conteúdo e análise de dados frequentemente utilizam essa tecnologia para processar grandes quantidades de registros operacionais.
Segundo especialistas que investigam o incidente, os atacantes teriam utilizado o Trufflehog para identificar credenciais adicionais dentro do ambiente comprometido.
O Trufflehog é uma ferramenta conhecida na área de segurança ofensiva e defensiva. Ela é capaz de localizar chaves de API, tokens e outros segredos digitais que possam ter sido armazenados em arquivos, repositórios ou registros internos.
Embora seja amplamente utilizada em auditorias de segurança legítimas, a ferramenta também pode ser empregada por invasores para descobrir credenciais esquecidas ou mal protegidas.
Com novas chaves de acesso em mãos, os hackers teriam conseguido ampliar seus privilégios e realizar consultas em bases hospedadas no BigQuery, possibilitando a coleta de grandes volumes de dados corporativos.
O impacto do roubo de 1 petabyte
A alegação central do incidente envolve a exfiltração de aproximadamente 1 petabyte de dados, um volume extremamente significativo mesmo para padrões corporativos.
Para se ter uma ideia da escala, um petabyte corresponde a cerca de um milhão de gigabytes de informação. Dependendo do tipo de arquivo armazenado, esse volume pode representar bilhões de registros digitais.
As informações divulgadas até o momento indicam que os dados possivelmente incluem:
• registros de interações de suporte e chamadas
• dados operacionais de serviços de BPO
• conjuntos de dados utilizados em sistemas de inteligência artificial
• registros relacionados à moderação de conteúdo online
• logs operacionais e dados internos de plataformas
Como a Telus Digital atua oferecendo serviços digitais para grandes empresas globais, muitos desses registros podem envolver dados corporativos sensíveis ou informações relacionadas a usuários finais.
Especialistas alertam que incidentes desse porte podem gerar impactos regulatórios, riscos de privacidade e possíveis investigações em diferentes jurisdições, dependendo da origem dos dados envolvidos.
Quem são os ShinyHunters?
O grupo ShinyHunters é conhecido no ecossistema de cibercrime por sua participação em grandes vazamentos de dados nos últimos anos.
O coletivo ganhou notoriedade após uma série de ataques contra empresas de tecnologia e plataformas digitais, frequentemente combinando roubo de dados com divulgação pública parcial das informações como forma de comprovar o acesso obtido.
Em vários incidentes, o grupo também foi associado à venda de bancos de dados roubados em fóruns clandestinos da internet.
Nos últimos anos, os ShinyHunters foram citados em ataques envolvendo grandes empresas de tecnologia, incluindo incidentes relacionados à Cisco e à Google. Esses casos reforçaram a reputação do grupo como um dos atores mais ativos no cenário contemporâneo de vazamentos de dados corporativos.
Os ataques atribuídos ao coletivo frequentemente seguem um padrão semelhante: exploração de credenciais comprometidas, movimento lateral em infraestruturas corporativas e exfiltração massiva de dados.
Conclusão e lições de segurança
O possível vazamento de dados da Telus Digital reforça uma realidade cada vez mais evidente no cenário de segurança digital: a maior parte dos grandes incidentes não começa com uma falha complexa de software, mas sim com credenciais comprometidas ou integrações mal protegidas.
Empresas modernas dependem de dezenas de ferramentas conectadas entre si, desde plataformas de marketing e comunicação até serviços de análise e armazenamento em nuvem.
Esse ecossistema cria novas superfícies de ataque, nas quais um único acesso indevido pode permitir movimentação lateral e eventual comprometimento de sistemas mais críticos.
Para reduzir riscos semelhantes, especialistas recomendam medidas como:
• implementação de autenticação multifator em todos os serviços críticos
• revisão constante de permissões e privilégios de acesso
• auditorias frequentes de integrações com fornecedores externos
• monitoramento contínuo de ambientes em nuvem
• uso rigoroso do princípio de privilégio mínimo
À medida que as infraestruturas digitais continuam migrando para ambientes de nuvem e sistemas distribuídos, ataques em cadeia como esse tendem a se tornar mais comuns.
O incidente envolvendo a Telus Digital serve como um alerta claro para empresas de todos os setores: a segurança da informação depende não apenas da proteção da infraestrutura principal, mas também do controle rigoroso de credenciais, integrações e serviços conectados.
