PB级罕见规模！外包巨头遭网络攻击，1PB数据疑似泄露

前情回顾·数据泄露狂潮

• 法国发生最大规模医疗数据泄露：高官档案、敏感病情等遭公开

• 沃尔沃发生数据泄露：因供应商被黑

• 高端运动品牌7200万用户个人信息疑似泄露，官方称正在调查

• 人肉利器？1750万名Instagram用户的姓名电话住址泄露

安全内参3月24日消息，加拿大业务流程外包巨头Telus Digital近日确认，发生了一起安全事件。此前有威胁行为者声称，通过持续数月的攻击从该公司窃取了近1PB的数据。

Telus Digital是加拿大电信提供商Telus旗下的数字服务与业务流程外包部门，为全球企业提供客户支持、内容审核、AI数据服务以及其他外包运营服务。

由于BPO提供商通常为多家公司处理客户支持、计费和内部身份验证工具，因此往往成为威胁行为者的理想目标。这些攻击者希望通过一次入侵获取大量客户和企业数据。

Telus Digital正在调查数据泄露事件

此次数据泄露由被称为ShinyHunters的威胁行为者实施。该组织声称已窃取与Telus BPO业务相关的大量客户数据，以及Telus消费者电信业务的通话记录。

今年1月，外媒BleepingComputer获悉Telus遭遇入侵并向公司发出询问，但当时未收到回应。

3月11日，Telus确认其遭遇数据泄露，并表示正在调查被窃取的数据内容以及受影响的客户范围。

Telus告知BleepingComputer：“TELUS Digital正在调查一起涉及未经授权访问部分系统的网络安全事件。公司在发现后立即采取措施应对相关活动，并加固系统以防止进一步入侵。目前我们正积极处置该情况，并持续进行密切监控。”

“TELUS Digital的所有业务运营均保持完全正常，没有证据表明客户连接或服务受到影响。作为响应措施的一部分，我们已聘请领先的网络取证专家协助调查，并正与执法机构合作。”

“我们已实施额外的安全措施，以进一步保护系统和环境。随着调查推进，我们将在适当情况下通知受影响客户。保障客户信息安全始终是我们的首要任务。”

本月初，有消息人士向BleepingComputer透露，ShinyHunters正在对该公司实施勒索，但Telus未与威胁行为者接触。

攻击者声称窃取近1PB数据

在获悉Telus未与ShinyHunters谈判后，BleepingComputer联系了威胁行为者以了解此次入侵情况。

根据ShinyHunters的说法，他们是通过在Salesloft Drift数据泄露中获取的谷歌云平台凭证入侵Telus。

在Salesloft Drift数据泄露事件中，威胁行为者下载了760家公司的Salesforce数据，包括客户支持工单。这些支持案例随后被扫描，用于提取凭证、身份验证令牌以及其他敏感信息。Mandiant报告称，这些信息被用于入侵更多平台。

ShinyHunters表示，他们在Drift数据中发现了Telus的谷歌云平台凭证，并利用这些凭证访问了多个公司系统，包括一个大型BigQuery实例。

在下载这些数据后，威胁行为者称，他们使用网络安全工具trufflehog在数据中搜索更多凭证，从而横向移动至Telus的其他系统并下载更多数据。

总体而言，ShinyHunters声称已窃取接近1PB的数据，这些数据涉及该公司及其众多客户，其中许多客户将Telus Digital作为客户支持业务的BPO服务提供商。BleepingComputer尚无法独立确认被窃数据的总规模。

大量知名客户据称受影响

威胁行为者还分享了28家据称受影响的知名公司名称。然而，BleepingComputer未披露这些公司名称，因为尚无法独立确认其是否确实受到影响。

威胁行为者称，这些客户的大部分数据与Telus Digital提供的BPO服务相关，包括客户支持和呼叫中心外包、客服人员绩效评分、AI驱动的客户支持工具、欺诈检测与防范以及内容审核解决方案。

不过，他们还声称已窃取源代码、FBI背景调查信息、财务信息、Salesforce数据以及多家公司的客服通话录音。

据称，此次数据泄露还影响了Telus的电信服务，包括其消费者固定线路业务。这些被窃取的数据据称包含详细的通话记录、语音录音以及营销活动数据。

BleepingComputer看到的通话数据记录样本包括通话时间、持续时长、呼出号码、呼入号码以及通话质量等元数据。

总体来看，根据BleepingComputer审阅的描述此次攻击的文本文件，被窃取的数据类型在不同公司之间差异较大，涉及多种业务功能的暴露。

ShinyHunters表示，他们于2月开始对Telus实施勒索，要求支付6500万美元以换取不泄露公司数据，但Telus未回复其邮件。

ShinyHunters组织是何背景？

长期以来，“ShinyHunter”这一名称与多名个人及多起数据泄露事件相关。如今，ShinyHunters勒索团伙已成为全球范围内最活跃的数据窃取威胁行为者之一。

该组织主要专注于从Salesforce及其他云SaaS环境中窃取数据，已对大量入侵事件负责，其中包括谷歌、思科、PornHub以及在线约会巨头Match Group。

近期，威胁行为者还发起了针对Okta、微软和谷歌单点登录账号的语音钓鱼攻击。他们冒充IT支持人员致电员工，诱骗其在钓鱼网站上输入凭证和多因素认证代码。

正如BleepingComputer最早报道，ShinyHunters近期还开始使用设备代码语音钓鱼来获取Microsoft Entra身份验证令牌。

在窃取目标的凭证和认证代码后，威胁行为者会劫持受害者的单点登录账号，从而入侵其所连接的企业服务，例如Salesforce、Microsoft 365、Google Workspace、SAP、Slack、Adobe、Atlassian、Zendesk和Dropbox。

参考资料：bleepingcomputer.com

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。