Perusahaan outsourcing proses bisnis (BPO) asal Kanada Telus Digital mengonfirmasi bahwa mereka mengalami insiden keamanan siber setelah kelompok peretas mengklaim telah mencuri hampir 1 petabyte data dari sistem perusahaan.
Telus Digital merupakan unit layanan digital dari perusahaan telekomunikasi Kanada Telus yang menyediakan layanan seperti dukungan pelanggan, moderasi konten, layanan data AI, dan operasional outsourcing bagi berbagai perusahaan di seluruh dunia.
Karena perusahaan BPO biasanya mengelola sistem dukungan pelanggan, penagihan, serta alat autentikasi internal untuk banyak klien sekaligus, sektor ini sering menjadi target menarik bagi pelaku kejahatan siber.
Telus Konfirmasi Terjadi Akses Tidak Sah
Dalam pernyataan resminya, Telus Digital menyatakan bahwa mereka saat ini sedang menyelidiki insiden keamanan yang melibatkan akses tidak sah ke sejumlah sistem perusahaan.
Perusahaan menyatakan telah mengambil langkah segera untuk mengamankan sistem dan mencegah intrusi lebih lanjut.
Telus juga menegaskan bahwa operasional bisnis tetap berjalan normal dan tidak ada indikasi gangguan terhadap layanan pelanggan atau konektivitas.
Selain itu, perusahaan telah melibatkan pakar forensik keamanan siber eksternal serta bekerja sama dengan aparat penegak hukum untuk menyelidiki insiden tersebut.
Hacker Klaim Mencuri Hampir 1 Petabyte Data
Serangan ini diklaim dilakukan oleh kelompok peretas ShinyHunters, yang menyatakan berhasil mencuri hampir 1 petabyte data dari sistem Telus selama pelanggaran keamanan yang berlangsung selama beberapa bulan.
Kelompok tersebut mengklaim telah mengakses berbagai data yang berkaitan dengan operasi BPO Telus, termasuk informasi layanan pelanggan dan catatan panggilan telekomunikasi dari layanan konsumen Telus.
Seorang sumber menyebutkan bahwa kelompok peretas tersebut mencoba memeras perusahaan sejak Februari, menuntut pembayaran sebesar 65 juta dolar AS agar data tidak dipublikasikan.
Namun Telus dilaporkan tidak menanggapi tuntutan tersebut.
Diduga Berawal dari Kebocoran Salesloft Drift
Menurut ShinyHunters, mereka mendapatkan akses ke sistem Telus melalui kredensial Google Cloud Platform yang ditemukan dalam data hasil pelanggaran keamanan pada platform Salesloft Drift.
Dalam insiden Drift sebelumnya, peretas diketahui mengunduh data Salesforce milik sekitar 760 perusahaan, termasuk tiket dukungan pelanggan.
Data tersebut kemudian dianalisis untuk mencari:
- Kredensial akun
- Token autentikasi
- Informasi rahasia lainnya
Kredensial milik Telus yang ditemukan dalam data tersebut kemudian digunakan untuk mengakses berbagai sistem perusahaan, termasuk instance BigQuery berskala besar.
Peretas Menggunakan TruffleHog untuk Mencari Kredensial
Setelah mendapatkan akses awal, para peretas mengklaim menggunakan alat keamanan siber TruffleHog untuk mencari kredensial tambahan dalam data yang telah mereka unduh.
Dengan kredensial tersebut, mereka dapat berpindah ke sistem lain dalam jaringan Telus dan mengambil lebih banyak data.
Data yang diklaim dicuri mencakup berbagai jenis informasi, antara lain:
- Data layanan pelanggan
- Rekaman panggilan call center
- Kode sumber perangkat lunak
- Informasi keuangan
- Data Salesforce
- Rekaman suara panggilan dukungan pelanggan
- Hasil pemeriksaan latar belakang FBI
Beberapa data yang bocor juga disebut terkait dengan layanan BPO yang diberikan kepada berbagai perusahaan global, termasuk sistem:
- Dukungan pelanggan berbasis AI
- Sistem deteksi dan pencegahan penipuan
- Moderasi konten
Catatan Panggilan Telekomunikasi Juga Diduga Bocor
Kelompok peretas juga mengklaim mencuri data dari layanan telekomunikasi Telus, termasuk catatan panggilan telepon konsumen.
Data tersebut diduga berisi metadata panggilan seperti:
- Waktu panggilan
- Durasi panggilan
- Nomor pengirim dan penerima
- Informasi kualitas panggilan
Namun hingga saat ini, ukuran data yang diklaim dicuri oleh pelaku belum dapat diverifikasi secara independen.
Profil Kelompok ShinyHunters
Kelompok ShinyHunters dikenal sebagai salah satu kelompok peretas yang paling aktif dalam serangan pencurian data pada tahun ini.
Kelompok ini berfokus pada pencurian data dari platform cloud SaaS, terutama yang menggunakan layanan seperti Salesforce.
ShinyHunters sebelumnya dikaitkan dengan berbagai pelanggaran data besar yang melibatkan perusahaan global, termasuk Google, Cisco, PornHub, serta perusahaan layanan kencan Match Group.
Dalam beberapa serangan terbaru, kelompok ini juga menggunakan teknik voice phishing (vishing) dengan menyamar sebagai staf IT untuk menipu karyawan agar memasukkan kredensial dan kode autentikasi ke situs phishing.
Metode lain yang digunakan termasuk device code vishing untuk memperoleh token autentikasi Microsoft Entra, yang kemudian digunakan untuk mengambil alih akun Single Sign-On (SSO).
Dengan akses tersebut, para pelaku dapat menyusup ke berbagai layanan perusahaan seperti Microsoft 365, Google Workspace, Slack, Zendesk, SAP, Dropbox, dan Atlassian.