A Telus Digital confirmou a 12 de março de 2026 que o grupo de piratas informáticos ShinyHunters comprometeu os seus sistemas e roubou entre 700 terabytes e 1 petabyte de dados, numa das maiores violações de dados de uma empresa de telecomunicações registadas até à data. O grupo exigiu $65 milhões de dólares em resgate, valor que a empresa canadiana recusou pagar. Após a recusa, os atacantes partilharam amostras dos dados roubados com meios de comunicação e disponibilizaram outros conteúdos publicamente. Com dados pessoais de pelo menos 28 empresas-clientes expostos, o incidente redefine o risco operacional das cadeias de fornecimento baseadas em nuvem e serve de alerta urgente para telecomunicações e empresas de BPO em toda a Europa.
O Maior Roubo de Dados de Telecomunicações de 2026
A Telus Digital, subsidiária da canadiana Telus Corporation especializada em externalização de processos de negócio (BPO), confirmou num comunicado à Reuters que os ShinyHunters afirmam ter roubado pelo menos 700 terabytes de dados, com algumas fontes a apontarem para 1 petabyte (1.000 terabytes). Para contextualizar a escala: 1 petabyte equivale ao conteúdo de aproximadamente 200.000 DVDs ou 13 anos de vídeo em alta definição em reprodução contínua.
A violação não se limitou aos sistemas de BPO da Telus Digital. Os piratas acederam também a registos de chamadas da divisão de telecomunicações fixas da Telus Corporation, incluindo horários de chamadas, durações e números de telefone. A Reuters verificou que as amostras de dados partilhadas pelos atacantes incluíam informações identificáveis de pelo menos duas dúzias de empresas-clientes, registos de centros de atendimento ao cliente, dados de verificação de antecedentes pelo FBI e código-fonte de várias divisões da empresa.
Em termos de volume bruto de dados exfiltrados, este incidente supera qualquer violação anterior atribuída ao grupo ShinyHunters, tornando-se o maior roubo de dados de telecomunicações confirmado em 2026. O CSIS (Centro de Estudos Estratégicos e Internacionais) classificou o ataque como um dos incidentes cibernéticos mais significativos da primeira metade de 2026 na sua linha temporal de incidentes relevantes.
Como os ShinyHunters Entraram: Credenciais da Salesloft no Google Cloud
A cadeia de ataque que permitiu o acesso à Telus Digital começou fora dos sistemas da empresa canadiana, num incidente de 2025 envolvendo um fornecedor terceiro. Os ShinyHunters revelaram ao BleepingComputer que encontraram as credenciais do Google Cloud Platform da Telus Digital num vasto conjunto de dados previamente roubado da Salesloft, plataforma de automação de vendas largamente utilizada por empresas B2B. Especificamente, o ataque à Salesloft em 2025 comprometeu o ambiente GitHub da empresa e permitiu o roubo de tokens OAuth do chatbot Drift, uma integração utilizada por inúmeras empresas clientes da Salesloft.
A Cadeia de Compromisso em Três Etapas
O ataque seguiu um padrão de escalada por cadeia de fornecimento que os investigadores da Bitdefender HotForSecurity documentaram: primeiro, comprometer um fornecedor SaaS de confiança com acesso generalizado; segundo, extrair credenciais de nuvem das suas pipelines e integrações; terceiro, usar essas credenciais para pivotar para os sistemas dos clientes do fornecedor comprometido. No caso da Telus Digital, após obtidas as credenciais GCP, os atacantes descobriram segredos adicionais que lhes permitiram expandir o acesso a múltiplos ambientes durante vários meses, sem serem detetados.
Esta metodologia sublinha um risco estrutural frequentemente subestimado: as credenciais de fornecedores terceiros raramente são auditadas com o mesmo rigor que as credenciais internas. Segundo o Relatório de Resposta a Incidentes de 2026 da Palo Alto Unit 42, cerca de 35% das investigações de 2025 envolveram ativos de nuvem ou SaaS, valor superior aos 28% de 2024 e muito acima dos 6% de 2022. A trajetória é inequívoca: os ambientes cloud tornaram-se o principal campo de batalha para os grupos de extorsão.
O mesmo relatório da Unit 42 destaca que a velocidade de exfiltração nos ataques mais rápidos quadruplicou em 2025: o quartil mais rápido de intrusões completou a exfiltração de dados em apenas 72 minutos, comparado com 285 minutos em 2024. E 22% dos incidentes de 2025 completaram a exfiltração em menos de uma hora, o que significa que as equipas de segurança têm uma janela cada vez mais estreita para detetar e responder.
1 Petabyte Exposto: O Que Foi Roubado
A amplitude dos dados roubados à Telus Digital é excecional pela sua diversidade e sensibilidade. Os atacantes alegam ter obtido acesso a múltiplas categorias de dados que abrangem as operações de BPO da empresa e a sua divisão de telecomunicações:
- Informações pessoalmente identificáveis (PII) de clientes e funcionários
- Gravações áudio de chamadas de centros de atendimento ao cliente
- Código-fonte de múltiplos sistemas internos da Telus
- Metadados de chamadas: horários, durações e números de telefone da divisão fixa
- Resultados de verificações de antecedentes pelo FBI de funcionários
- Registos financeiros internos da empresa
- Dados Salesforce de operações de CRM
- Métricas operacionais de BPO: workflows de moderação de conteúdos, desempenho de agentes e sistemas de suporte com inteligência artificial
A presença de gravações de chamadas levanta preocupações específicas de privacidade. Estas gravações podem conter informação financeira partilhada pelos clientes durante chamadas de apoio, dados de saúde em contextos de BPO médico, ou dados de autenticação por voz. Para empresas de BPO como a Telus Digital, que processam chamadas em nome de dezenas de clientes de setores distintos, a exposição é multiplicada por cada empresa representada nos servidores comprometidos.
A obtenção de resultados de verificações de antecedentes do FBI é particularmente preocupante: estes documentos contêm historial criminal, informação de residência e outros dados sensíveis de funcionários, com implicações legais e de segurança que vão além da simples violação de privacidade.
As 28 Empresas-Clientes Nomeadas pelos Atacantes
Os ShinyHunters nomearam 28 empresas-clientes como afetadas pelo roubo de dados do BPO, embora estas alegações não tenham sido verificadas de forma independente. A Telus Digital presta serviços de externalização de processos a clientes nos setores de telecomunicações, serviços financeiros, saúde e meios de comunicação. Esta diversificação significa que os dados expostos abrangem setores com requisitos regulatórios distintos e obrigações de notificação específicas.
A Telus Digital declarou não acreditar que a violação se tenha estendido a outras divisões da Telus Corporation, como o operador de telecomunicações sem fios, o fornecedor de banda larga, a divisão de tecnologia de saúde (Telus Health) ou a divisão de agricultura de precisão. Contudo, a Reuters indicou que os dados partilhados pelos atacantes incluíam “informações de verificações de antecedentes do FBI e código-fonte abrangendo múltiplas divisões de negócio da Telus”, o que complica esta distinção.
Para as 28 empresas-clientes nomeadas, a situação é delicada: os seus próprios clientes, cujos dados foram confiados à Telus Digital para processamento, podem estar expostos. Cada uma destas empresas tem obrigações próprias de notificação ao abrigo das leis de proteção de dados aplicáveis às suas jurisdições e setores, criando uma cascata regulatória com dezenas de entidades envolvidas.
Os $65 Milhões de Resgate que a Telus Recusou
O grupo exigiu $65 milhões de dólares para não divulgar publicamente os dados roubados. A Telus Digital recusou pagar, seguindo a orientação das autoridades de cibersegurança, que desaconselham sistematicamente o pagamento de resgates por não garantir a destruição dos dados e por incentivar novos ataques. Após a recusa, os ShinyHunters partilharam amostras dos dados com a Reuters e o BleepingComputer, e disponibilizaram outros conteúdos publicamente.
Para contextualizar o montante: $65 milhões é o maior resgate exigido por exfiltração de dados sem componente de ransomware registado até à data. O grupo FulcrumSec exigiu $25 milhões à farmacêutica Novo Nordisk por 1,3 TB de dados roubados. Os ShinyHunters tinham exigido €1 milhão à operadora holandesa Odido por 6,5 milhões de registos. A escala da exigência à Telus reflete a magnitude excecional dos dados obtidos e a sensibilidade das 28 empresas-clientes afetadas.
A Resposta da Telus Digital: Contenção e Investigação Forense
Num comunicado divulgado a 12 de março de 2026, a Telus Digital declarou estar a “investigar um incidente de cibersegurança envolvendo acesso não autorizado a um número limitado dos nossos sistemas. Após a descoberta, tomámos medidas imediatas para endereçar a atividade não autorizada e proteger os nossos sistemas contra novas intrusões.”
A empresa acrescentou que “todas as operações de negócio da Telus Digital permanecem totalmente operacionais e não há evidências de perturbação da conectividade ou serviços dos clientes.” A Telus Digital contratou especialistas externos em forense digital, colabora com as autoridades policiais e está a notificar os clientes afetados à medida que a investigação progride.
A resposta segue o protocolo recomendado pelas estruturas de resposta a incidentes: contenção imediata, avaliação forense, notificação e remediação. Contudo, a demora na deteção, com a violação a passar vários meses sem ser descoberta, levanta questões sobre a eficácia dos controlos de monitorização nos ambientes de nuvem comprometidos. A Bitdefender HotForSecurity nota que o grupo ShinyHunters “especializa-se em roubar dados de plataformas Salesforce e outros fornecedores SaaS” e tem conduzido ataques de vishing (phishing por voz), fazendo-se passar por técnicos de TI para convencer funcionários a introduzir credenciais em sites maliciosos.
Implicações Regulatórias: PIPEDA, RGPD e NIS2
PIPEDA: A Lei Canadiana de Proteção de Dados
No Canadá, o incidente ativa obrigações ao abrigo da PIPEDA (Personal Information Protection and Electronic Documents Act), que exige à Telus notificar o Comissário de Privacidade e os indivíduos afetados quando existe risco real de dano significativo. A PIPEDA não impõe prazos tão rígidos como o RGPD, mas exige notificação “o mais cedo possível”. As coimas ao abrigo da lei atual são limitadas, mas existe pressão política crescente para uma reforma que aproxime as sanções canadianas dos padrões europeus, processo que o ataque à Telus deverá acelerar.
NIS2 e RGPD: Impacto Direto nas Empresas Portuguesas e Europeias
Para operadores de telecomunicações e empresas de BPO na União Europeia, o incidente da Telus Digital serve de alerta regulatório crítico. A Diretiva NIS2, transposta para o direito português através do Regime Jurídico de Cibersegurança, obriga as entidades essenciais, incluindo as telecomunicações, a reportar incidentes significativos em 24 horas às autoridades competentes, com coimas que podem atingir €10 milhões ou 2% da faturação global anual.
Em Portugal, o Centro Nacional de Cibersegurança (CNCS) supervisiona a implementação destes requisitos para as aproximadamente 9.000 empresas abrangidas pelo Regime Jurídico de Cibersegurança. Se dados de cidadãos europeus foram processados pela Telus Digital em nome de clientes europeus, o Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se igualmente, com coimas até €20 milhões ou 4% da faturação global anual. O RGPD exige notificação à autoridade supervisora competente no prazo de 72 horas após o responsável pelo tratamento tomar conhecimento da violação.
Comparação com Outros Ataques ShinyHunters em 2025-2026
O ataque à Telus Digital enquadra-se numa série consistente de violações de alto perfil atribuídas ao grupo, mas supera todas as anteriores em volume de dados brutos:
| Alvo | Data | Volume de Dados | Resgate Exigido | Resultado |
|---|---|---|---|---|
| Telus Digital | Mar 2026 | 700 TB a 1 PB | $65 milhões | Recusado; dados partilhados publicamente |
| Canvas/Instructure | 2025-2026 | 275 milhões de registos | Não divulgado | Dados expostos |
| Odido (Países Baixos) | 2025 | 6,5 milhões de registos | €1 milhão | Recusado; dados expostos |
| Spectrum/Charter | 2025 | 4,9 milhões de registos | Não divulgado | Dados expostos |
| Carnival Corporation | 2025-2026 | 6 milhões de passaportes | Não divulgado | Dados expostos |
| AT&T Wireless | 2025 | 110 milhões de registos de chamadas | Não divulgado | Dados parcialmente expostos |
| Ticketmaster | 2024 | 560 milhões de registos | $500 mil | Recusado; dados expostos |
No total, investigadores atribuem mais de 1.000 milhões de registos individuais às operações dos ShinyHunters desde 2020, tornando este grupo num dos agentes de ciberextorsão com maior impacto registado a nível global. A diferença entre o caso Telus e os anteriores está na natureza dos dados: enquanto a maioria das violações expôs registos de consumidores, a Telus Digital expôs dados operacionais de empresas, código-fonte, registos de vigilância interna de funcionários e gravações de chamadas de negócio.
Perfil dos ShinyHunters: Evolução Técnica [2020-2026]
Os ShinyHunters operam desde 2020 e construíram uma reputação baseada na exploração sistemática de plataformas SaaS de confiança para comprometer os seus clientes através de ataques à cadeia de fornecimento. A sua evolução técnica está documentada pela trajetória das campanhas:
| Período | Técnica Principal | Campanha de Referência | Escala |
|---|---|---|---|
| 2020-2022 | Bases de dados expostas, APIs mal configuradas | Várias violações via GitHub público | Dezenas de organizações |
| 2023-2024 | Snowflake credential stuffing | Campanha Snowflake 2024 | 165 organizações |
| 2025 | Salesforce Experience Cloud | Campanha Salesforce 2025 | 300 a 400 empresas-alvo |
| 2025-2026 | Vishing + roubo de credenciais SaaS | Salesloft/Drift; Telus Digital | 28 clientes Telus confirmados |
Em 2026, os ShinyHunters violaram 7 organizações de relevo em aproximadamente seis semanas: ADT, Udemy, Rockstar Games, Zara/Carnival/7-Eleven, Medtronic, Allianz Life e Ameriprise. Esta diversificação de alvos para saúde, seguros, entretenimento e retalho global demonstra que o grupo não limita as suas operações às telecomunicações e tecnologia.
A adição de vishing ao arsenal do grupo é particularmente preocupante. Os ShinyHunters passaram a fazer-se passar telefonicamente por técnicos de TI para convencer funcionários de empresas-alvo a introduzir as suas credenciais em sites de phishing, contornando controlos técnicos com engenharia social. Este vetor é difícil de bloquear puramente com tecnologia e exige formação contínua dos colaboradores.
A Vaga Global de Ataques a Telecomunicações em 2026
O ataque à Telus Digital enquadra-se numa vaga global de ataques direcionados a operadores de telecomunicações. Em fevereiro de 2026, a Agência de Cibersegurança de Singapura revelou que o grupo de espionagem chinês UNC3886 comprometeu todos os quatro principais operadores de telecomunicações do país numa campanha de vários meses, direcionada à espionagem de comunicações governamentais e empresariais.
Em 2025, a AT&T reportou o roubo de registos de chamadas de 110 milhões de clientes da sua rede wireless, incluindo números marcados e duração de chamadas. O padrão é consistente: as telecomunicações são alvos de elevado valor porque processam volumes massivos de dados sensíveis, operam infraestruturas críticas, e frequentemente externalizam processos para fornecedores terceiros com controlos de segurança menos robustos do que os das próprias operadoras.
Para os analistas do CSIS, que acompanham os incidentes cibernéticos significativos desde 2006, a convergência de ataques de extorsão por parte de grupos como os ShinyHunters com campanhas de espionagem de estados como a China e a Rússia define o panorama atual de ameaças ao setor: uma infraestrutura crítica simultaneamente sob ataque financeiro e geopolítico.
Impacto Operacional e Exposição Reputacional da Telus
A Telus Digital garantiu não haver perturbação operacional, o que limita o impacto imediato nos clientes. Contudo, o dano reputacional para uma empresa de BPO que processa dados sensíveis em nome de dezenas de organizações globais pode ser duradouro. Os clientes que confiaram à Telus Digital os dados dos seus próprios consumidores, incluindo gravações de chamadas e informações pessoais, têm agora de avaliar a extensão da sua própria exposição e as respetivas obrigações regulatórias.
Do ponto de vista financeiro, a Telus Corporation não divulgou estimativas de dano. O montante de $65 milhões exigido em resgate fornece uma ordem de grandeza do valor que os atacantes atribuíam aos dados. A este valor acrescem os custos de resposta a incidentes, forense digital, notificações a clientes e reguladores, investigações regulatórias em múltiplas jurisdições, e potenciais processos judiciais das empresas-clientes afetadas e dos seus próprios clientes.
A Cybersecurity Dive, que reportou o incidente em detalhe, sublinha que o caso ilustra a fragilidade da confiança transitiva em cadeias de fornecimento SaaS: a Telus Digital confiou as suas credenciais de nuvem a uma integração com a Salesloft, e essa confiança foi explorada meses depois por um terceiro adversário que jamais teve contacto direto com a Telus.
O Que as Empresas Portuguesas e Europeias Devem Fazer
Para as organizações portuguesas abrangidas pelo Regime Jurídico de Cibersegurança, o ataque à Telus Digital oferece cinco lições imediatas e acionáveis:
- Inventário de credenciais de terceiros: Auditar quais os fornecedores SaaS com tokens OAuth ou credenciais de nuvem com acesso a sistemas internos. Revogar imediatamente tokens não utilizados ou associados a fornecedores que tenham sofrido incidentes recentes, incluindo a Salesloft.
- Rotação automática de credenciais de nuvem: Implementar rotação programática de credenciais para plataformas Google Cloud, AWS e Azure, especialmente após breaches confirmados em fornecedores que integrem com esses ambientes.
- Monitorização de exfiltração por volume: Configurar alertas para transferências de dados anómalas acima de limites definidos. A exfiltração de centenas de terabytes produz padrões de tráfego de saída detetáveis se os sistemas de monitorização estiverem adequadamente configurados.
- Revisão de segurança de fornecedores de BPO e SaaS: Exigir relatórios de auditoria recentes (SOC 2 Type II, ISO 27001) a fornecedores antes de lhes conceder acesso a dados sensíveis, e incluir cláusulas contratuais de notificação imediata em caso de breach.
- Testar o plano de resposta NIS2: Garantir que os procedimentos de notificação em 24 horas ao CNCS e em 72 horas à CNPD estão documentados, atribuídos a responsáveis nomeados e testados através de simulacros regulares.
5 Previsões para os Próximos 12 Meses
Com base nas tendências identificadas no ataque à Telus Digital e no padrão de operações dos ShinyHunters, cinco desenvolvimentos são prováveis até meados de 2027:
- Novas violações via cadeia Salesforce e SaaS: Os ShinyHunters continuarão a explorar as credenciais obtidas em campanhas anteriores contra a Salesloft e a Salesforce Experience Cloud. Com entre 300 e 400 organizações potencialmente vulneráveis a este vetor, os próximos 12 meses deverão trazer violações adicionais com origem na mesma cadeia de compromisso.
- Reforma da PIPEDA no Canadá: O ataque à Telus acelerará o processo legislativo de modernização da PIPEDA, com prazos de notificação mais curtos e coimas mais elevadas alinhadas com o modelo RGPD. A pressão política após um incidente desta magnitude é historicamente suficiente para destravar processos legislativos parados.
- Primeiras grandes coimas NIS2 a operadores europeus: Os reguladores europeus utilizarão este caso como referência para avaliar a conformidade de telecomunicações e BPO com os requisitos de segurança da NIS2. O primeiro processo regulatório europeu com base nos novos poderes da NIS2 deverá surgir antes do final de 2026.
- Multi-extorsão sem ransomware como norma: O modelo dos ShinyHunters, roubar dados sem encriptação, exigir resgate, e publicar amostras para pressionar, tornar-se-á o padrão dominante para grupos de ciberextorsão em alvos de elevado valor, substituindo progressivamente o ransomware clássico onde o valor dos dados supera o valor do bloqueio operacional.
- Condições de segurança de terceiros impostas por seguradoras: As seguradoras de cibersegurança começarão a exigir auditorias de segurança de fornecedores terceiros como condição para coberturas de BPO e SaaS, acelerando a adoção de padrões SOC 2 Type II em fornecedores de externalização globais e criando um mecanismo de mercado para elevar os padrões da cadeia de fornecimento.
Cobertura Relacionada
- Relatório Unit 42 2026: Ciberataques Roubam Dados em 72 Minutos
- Tycoon2FA: 64.000 Ataques a Microsoft 365, Derrubado em Março e Voltou em Abril
- NIS2 Portugal: 9.000 Empresas Abrangidas, Coimas até €10M
- Stryker: Handala Apaga 80.000 Sistemas em 79 Países, Rouba 50 TB
- Novo Nordisk: FulcrumSec Rouba 1,3 TB e Exige $25M
- Cibersegurança: Análise de Ameaças e Vulnerabilidades
Perguntas Frequentes
Quantos dados foram roubados da Telus Digital?
Os ShinyHunters afirmam ter roubado entre 700 terabytes e 1 petabyte de dados. A Telus Digital não confirmou o volume exato, indicando que a investigação está em curso. A Reuters verificou que amostras partilhadas pelos atacantes continham dados reais de clientes e operações internas da empresa.
Que tipo de dados foram expostos?
Os dados roubados incluem informações pessoalmente identificáveis (PII), gravações áudio de chamadas de centros de atendimento, código-fonte interno, metadados de chamadas telefónicas da divisão fixa da Telus, resultados de verificações de antecedentes pelo FBI de funcionários, dados financeiros internos, dados Salesforce e métricas operacionais do BPO.
Como é que os ShinyHunters obtiveram acesso à Telus Digital?
Os atacantes encontraram as credenciais do Google Cloud Platform da Telus Digital num conjunto de dados previamente roubado da Salesloft, plataforma de automação de vendas, em 2025. Usando essas credenciais, pivotaram para os sistemas da Telus Digital e expandiram o acesso durante vários meses sem serem detetados.
A Telus pagou o resgate de $65 milhões?
Não. A Telus Digital recusou pagar os $65 milhões exigidos pelos ShinyHunters. Na sequência desta recusa, os atacantes partilharam amostras dos dados com meios de comunicação e disponibilizaram outros dados publicamente.
Quais são as implicações regulatórias para empresas portuguesas?
Para empresas portuguesas abrangidas pela NIS2, este incidente é um alerta direto sobre o risco de cadeia de fornecimento. A NIS2 exige notificação em 24 horas de incidentes significativos ao CNCS, com coimas até €10 milhões ou 2% da faturação global. Se dados de cidadãos europeus foram processados, o RGPD aplica-se com coimas até €20 milhões ou 4% da faturação global anual e notificação à CNPD em 72 horas.
Os serviços da Telus foram afetados?
A Telus Digital declarou que “todas as operações de negócio permanecem totalmente operacionais e não há evidências de perturbação da conectividade ou serviços dos clientes.” O ataque focou-se na exfiltração de dados em vez de perturbação operacional, o que é característico das operações de extorsão pura dos ShinyHunters.
Quem são os ShinyHunters?
Os ShinyHunters são um grupo de ciberextorsão ativo desde 2020, especializado na exploração de credenciais de plataformas SaaS para comprometer os seus clientes. Ao grupo são atribuídos mais de 1.000 milhões de registos individuais roubados, incluindo campanhas contra a Snowflake (165 organizações em 2024), a Salesforce Experience Cloud (300 a 400 alvos em 2025), a Ticketmaster (560 milhões de registos em 2024) e a AT&T (110 milhões de registos em 2025). A violação da Telus Digital representa a operação de maior escala em termos de volume bruto de dados.
Fontes: Cybersecurity Dive: Telus Digital confirms hack as ShinyHunters claims credit | Bitdefender HotForSecurity: Telus Digital data breach confirmed | CSO Online: Telus Digital hit with massive data breach | CSIS: Significant Cyber Incidents 2026
