ShinyHunters vole près d'un pétaoctet de données chez TELUS Digital via tokens OAuth compromis depuis la brèche Salesloft 2025. Rançon de 65 M$, 3,9 millions d'enregistrements exposés.
TELUS Digital, filiale de TELUS spécialisée dans l'externalisation de processus métier (BPO) pour de grandes entreprises et programmes gouvernementaux, a confirmé le 11 mars 2026 une brèche de données d'une ampleur inédite. Le groupe ShinyHunters, déjà responsable de brèches majeures chez Ticketmaster et Snowflake, revendique l'exfiltration de près d'un pétaoctet de données — soit environ 1 000 téraoctets. La chaîne d'attaque est particulièrement instructive : ShinyHunters a utilisé des tokens OAuth volés lors de la brèche Salesloft/Drift de 2025 pour pivoter vers les systèmes Salesforce de TELUS Digital, puis s'est servi de l'outil open source TruffleHog pour extraire automatiquement des secrets (clés AWS, credentials GCP, tokens GitHub) cachés dans les données téléchargées. Ce mouvement latéral leur a permis d'accéder aux infrastructures cloud de TELUS Digital hébergées sur Google Cloud Platform et d'exfiltrer 3,9 millions d'enregistrements de base de données, 536 tables Redshift, du code source de systèmes internes, des enregistrements d'appels BPO et des données personnelles d'employés incluant des vérifications FBI. La rançon demandée s'élève à 65 millions de dollars. TELUS Digital n'a pas confirmé d'engagement avec les attaquants.
En bref
- ShinyHunters exfiltre ~1 pétaoctet chez TELUS Digital via tokens OAuth compromis depuis la brèche Salesloft 2025
- Données volées : 3,9 M enregistrements, code source, secrets AWS/GCP, enregistrements d'appels BPO
- Action requise : auditez toutes vos intégrations OAuth tierces et faites tourner vos secrets cloud
Les faits
La brèche a débuté fin 2025 lorsque des tokens OAuth associés à Salesloft et Drift (outils CRM/chatbot) ont été compromis dans un incident de supply chain. Ces tokens ont permis à ShinyHunters d'accéder au Salesforce de TELUS Digital et d'en extraire des données structurées. Les attaquants ont ensuite utilisé TruffleHog — un outil de scanning de secrets open source conçu pour la défense — pour passer au crible les données téléchargées et y trouver des clés d'accès cloud en clair. Cette technique, connue sous le nom de "secrets pivoting", leur a ouvert l'accès aux infrastructures GCP de TELUS Digital. TELUS Digital a confirmé la brèche le 11 mars 2026 après que ShinyHunters a publié des échantillons de données sur BreachForums.
Les données exfiltrées incluent : des enregistrements d'appels support de clients BPO, du code source de systèmes internes, des données personnelles d'employés avec résultats de vérifications FBI, des secrets AWS en clair depuis AWS Secret Manager, 3,9 millions d'enregistrements de bases de données, et 536 tables Redshift. La rançon demandée est de 65 millions de dollars. Selon BleepingComputer, TELUS Digital ne serait pas en négociation avec les attaquants. L'affaire CybersecurityDive rapporte que l'impact réel sur les clients finaux est encore en cours d'évaluation, compte tenu de la nature BPO de l'activité.
Impact et exposition
TELUS Digital est un intermédiaire de confiance pour des dizaines de grandes entreprises et programmes gouvernementaux. Une brèche BPO est particulièrement sévère car les données de nombreux donneurs d'ordre sont concentrées chez un seul prestataire. Les clients de TELUS Digital doivent évaluer leur exposition : quelles données ont-ils transmis à TELUS Digital dans le cadre de contrats de support ? Quels tokens OAuth ou accès API ont-ils accordés ? La technique d'attaque — exploitation de secrets exposés dans les données BPO elles-mêmes — est une illustration parfaite du problème des secrets non gérés dans les chaînes d'approvisionnement SaaS.
Cette affaire rappelle que la sécurité de votre SI dépend aussi de celle de vos prestataires. La gestion des risques tiers (TPRM) est un volet critique souvent sous-estimé. Les attaques supply chain récentes et les compromissions de pipelines CI/CD montrent que la chaîne de confiance OAuth/API est la nouvelle frontière des intrusions majeures. Tout RSSI doit inventorier ses tokens OAuth actifs et s'assurer que les secrets ne transitent jamais en clair dans des données partagées avec des tiers.
Recommandations
- Inventoriez et révoquez les tokens OAuth : listez toutes les applications tierces ayant accès à votre Salesforce, Slack, Google Workspace, GitHub et autres systèmes critiques. Révoquez les tokens inutilisés.
- Faites tourner vos secrets cloud immédiatement : clés AWS, credentials GCP/Azure, tokens GitHub — surtout si des tiers ont eu accès à des dumps de données ou exports.
- Scannez vos dépôts avec TruffleHog ou Gitleaks : si vos secrets apparaissent dans vos propres dépôts ou exports, ils apparaîtront aussi dans ceux d'un attaquant.
- Questionnez vos prestataires BPO : quelles données leur avez-vous transmis ? Sont-elles protégées par chiffrement ? Quel est leur niveau de maturité sécurité ?
- Activez le least-privilege sur vos rôles IAM cloud : aucun token OAuth ou clé d'API ne devrait avoir plus de droits que strictement nécessaire.
Comment auditer les tokens OAuth de mes applications SaaS pour réduire ce risque ?
Pour Salesforce : Menu Admin > Utilisateurs connectés > révoquez les sessions inactives. Pour Google Workspace : Admin > Sécurité > Contrôle des accès aux API > Applications tierces — examinez chaque application et ses permissions. Pour GitHub : Paramètres > Applications > Applications OAuth autorisées. L'outil open source trufflehog filesystem . permet de scanner vos exports et dépôts à la recherche de secrets exposés. Une revue trimestrielle des accès OAuth devrait être standard dans tout processus ISMS conforme ISO 27001 ou NIS2.
À retenir
- ~1 pétaoctet exfiltré chez TELUS Digital via tokens OAuth Salesloft/Drift compromis
- Vecteur : secrets pivoting — les attaquants ont utilisé TruffleHog sur les données volées pour trouver des clés cloud
- Rançon : 65 millions de dollars
- Priorité : inventaire et rotation de tous vos tokens OAuth tiers et secrets cloud
La gestion des secrets et des accès tiers est fondamentale dans une stratégie de sécurité moderne. Notre guide d'audit Google Workspace couvre en détail la gestion des accès OAuth et la révocation des tokens suspects.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires (1)
Laisser un commentaire