
Britische Hacker wegen Cyberangriffs auf Londoner Verkehrsbetriebe mit 29 Millionen Pfund Schaden verurteilt
Thalha Jubair (20) und Owen Flowers (18) wurden zu jeweils fünfeinhalb Jahren Haft verurteilt wegen des Hacks im August/September 2024, der Transport for London zwang, seine Systeme vom Netz zu nehmen und die Daten von Millionen Fahrgästen offenlegte.
Der Angriff
Zwischen dem 31. August und dem 3. September 2024 drangen Jubair und Flowers in die Systeme von TfL ein, nachdem ein Komplize den Helpdesk angerufen und sich als Mitarbeiter ausgegeben hatte, um Anmeldedaten zurückzusetzen. Sie erweiterten ihre Berechtigungen, um ein Domain-Admin-Konto zu erstellen, das vor Gericht als „die Schlüssel zum Königreich“ beschrieben wurde. Das Duo durchsuchte Kundendatenbanken nach Prominenten, kompromittierte Rückerstattungssysteme und schaltete das Antragsportal für die Oyster-Photocard für Jugendliche ab. TfL war gezwungen, seine Systeme zu trennen, um den Angriff zu stoppen.
Der Angriff war der schlimmste Vorfall, dem ich in meiner Karriere begegnet bin.
- Hacker erlangen ersten Zugang zu TfL-Systemen durch Social Engineering am Helpdesk.
- TfL trennt Systeme, um den Angriff nach vier Tagen zu stoppen.
- Jubair und Flowers bekennen sich des Hacks von TfL schuldig.
- Beide zu fünfeinhalb Jahren Gefängnis verurteilt.
Folgen und Kosten
Der direkte finanzielle Schaden belief sich auf 29 Millionen Pfund, wobei einige Berichte die Gesamtsumme auf 39 Millionen Pfund beziffern. Alle 28.000 TfL-Mitarbeiter mussten persönlich ihre Passwörter zurücksetzen. Der Dial-a-Ride-Service für behinderte Fahrgäste konnte wochenlang keine Buchungen bearbeiten, und Echtzeit-Ankunfts-Apps wie TfL Go und Citymapper waren offline. Daten von Millionen Fahrgästen wurden gestohlen. Die Staatsanwaltschaft erklärte, die Hacker hätten „katastrophale Schäden“ verursachen können und, wären die Systeme nicht getrennt worden, hätten potenzielle indirekte Verluste 56 Milliarden Pfund erreichen können.
Die Hacker
Jubair (20) aus Tower Hamlets hatte 22 frühere Verurteilungen, darunter Stalking und Hacks von BT/EE, Nvidia und der City of London Police. Er wurde zudem in den Vereinigten Staaten wegen Verschwörung zu Computerbetrug, Überweisungsbetrug und Geldwäsche angeklagt, ihm wird vorgeworfen, 115 Millionen Dollar an Lösegeldforderungen erpresst zu haben. Flowers (18) aus Walsall wurde festgenommen, während er zwei US-Gesundheitsdienstleister, SSM Health und Sutter Health, hackte, nur Tage nach dem TfL-Angriff. Beide lebten bei ihrer Familie, kommunizierten über Telegram, und Flowers streamte den Angriff live. Jubair wurde unter anderem dadurch identifiziert, dass er mit Gutscheinen, die mit Kryptowährung gekauft wurden und mit einem Server in Verbindung standen, der Lösegeldzahlungen speicherte, Essen zu sich nach Hause bestellte.
Auswirkungen auf Scattered Spider
Die beiden waren zentrale Mitglieder von Scattered Spider, einem losen Zusammenschluss englischsprachiger Hacker, der mit Angriffen auf MGM, Marks & Spencer, Harrods und andere in Verbindung gebracht wird. Paul Foster, Leiter der National Cyber Crime Unit der NCA, sagte, die Verurteilungen hätten die Fähigkeit der Gruppe zu operieren „stark beeinträchtigt“.
Scattered Spider war die bedeutendste Cyberkriminalitätsbedrohung für das Vereinigte Königreich in den letzten Jahren. Durch diese Ermittlungen haben wir diese Bedrohung stark gestört und Haupttäter vor Gericht gebracht.
Verurteilung
Am Woolwich Crown Court verurteilte Richter Mark Turner am 16. Juli 2026 beide zu fünfeinhalb Jahren Gefängnis. Er würdigte ihr jugendliches Alter, sagte aber, der Ernst der Straftat erfordere Haft, und stellte fest, sie seien „hauptsächlich von egoistischer Prahlerei motiviert, ohne Rücksicht auf die schwerwiegenden Folgen für andere“.


