In seiner Stellungnahme gegenüber BleepingComputer spricht Telus von einem Sicherheitsvorfall mit unbefugtem Zugriff auf eine begrenzte Zahl seiner Systeme. Man habe nach der Entdeckung umgehend Maßnahmen ergriffen, um die Aktivität zu unterbinden und die Systeme gegen weitere Eindringversuche abzusichern. Der Geschäftsbetrieb laufe vollständig weiter, Hinweise auf Störungen der Kundenanbindung oder der Dienste gebe es nicht. Telus hat nach eigenen Angaben forensische Spezialisten hinzugezogen, arbeitet mit den Strafverfolgungsbehörden zusammen und benachrichtigt betroffene Kunden, soweit dies angebracht sei.

Einem Hinweisgeber zufolge versuchte ShinyHunters, das Unternehmen zu erpressen, ohne dass Telus auf die Täter einging. Nachdem BleepingComputer erfahren hatte, dass keine Verhandlungen stattfanden, befragte die Redaktion die Angreifer selbst. Nach Darstellung von ShinyHunters gelang der Einbruch über Zugangsdaten für die Google Cloud Platform, die in den bei der Salesloft-Drift-Attacke erbeuteten Daten gefunden worden seien.

Bei dem Salesloft-Drift-Vorfall luden Angreifer Salesforce-Daten von 760 Unternehmen herunter, darunter Support-Tickets. Diese wurden nach Zugangsdaten, Authentifizierungs-Tokens und anderen Geheimnissen durchsucht, die laut Mandiant für den Einbruch in weitere Plattformen genutzt wurden. ShinyHunters gibt an, in diesen Drift-Daten die Google-Cloud-Zugangsdaten von Telus entdeckt und damit auf zahlreiche Systeme zugegriffen zu haben, unter anderem auf eine große BigQuery-Instanz.

Nach dem Herunterladen dieser Daten durchsuchten die Täter sie nach eigenen Angaben mit dem Sicherheitswerkzeug trufflehog nach weiteren Zugangsdaten, mit denen sie in andere Telus-Systeme vordrangen und zusätzliche Daten abzogen. Insgesamt will ShinyHunters fast ein Petabyte erbeutet haben; BleepingComputer konnte die Gesamtgröße nicht unabhängig bestätigen.

Die Gruppe nannte 28 bekannte Unternehmen, die betroffen sein sollen – BleepingComputer veröffentlicht die Namen nicht, da eine Betroffenheit nicht unabhängig überprüft werden konnte. Ein Großteil der Daten beziehe sich auf BPO-Leistungen wie Kundensupport, Callcenter-Auslagerung, Bewertungen der Mitarbeiterleistung, KI-gestützte Support-Werkzeuge, Betrugserkennung und Inhaltsmoderation. Darüber hinaus wollen die Täter Quellcode, FBI-Hintergrundprüfungen, Finanzinformationen, Salesforce-Daten und Sprachaufzeichnungen von Support-Anrufen erbeutet haben.

Betroffen sein soll auch das Telekommunikationsgeschäft von Telus samt Festnetzsparte für Endkunden, mit angeblich detaillierten Verbindungsdaten, Sprachaufzeichnungen und Kampagnendaten. Eine von BleepingComputer eingesehene Stichprobe der Verbindungsdaten enthielt unter anderem Uhrzeit, Dauer, Ruf- und Zielnummer sowie weitere Metadaten zur Anrufqualität. Den eingesehenen Beschreibungen zufolge variieren die gestohlenen Datenarten stark zwischen den Unternehmen.

Nach Angaben von ShinyHunters begann die Erpressung in diesem Jahr mit der Forderung von 65 Millionen US-Dollar für den Verzicht auf eine Veröffentlichung; Telus reagierte nicht auf die Mails. Die aktuelle Erpressergruppe ShinyHunters zählt nach Einschätzung von BleepingComputer zu den aktivsten Tätern bei Datendiebstählen in diesem Jahr und wird mit Einbrüchen bei Google, Cisco, PornHub und Match Group in Verbindung gebracht. Zuletzt setzte die Gruppe auf Voice-Phishing (Vishing) gegen Single-Sign-on-Konten bei Okta, Microsoft und Google sowie auf sogenanntes Device-Code-Vishing, um Microsoft-Entra-Tokens zu erlangen.