
Hakerzy z Wielkiej Brytanii skazani za cyberatak na londyński transport, który kosztował 29 milionów funtów
Thalha Jubair (20 l.) i Owen Flowers (18 l.) zostali skazani na pięć i pół roku więzienia każdy za atak hakerski z sierpnia–września 2024 r., który zmusił Transport for London do odłączenia systemów i ujawnił dane milionów pasażerów.
Atak
Między 31 sierpnia a 3 września 2024 r. Jubair i Flowers włamali się do systemów TfL po tym, jak wspólnik podszył się pod pracownika na infolinii, by zresetować dane logowania. Rozszerzyli uprawnienia, tworząc konto administratora domeny – w sądzie określone jako „klucze do królestwa”. Para przeszukiwała bazy danych klientów w poszukiwaniu celebrytów, naruszyła systemy zwrotów pieniędzy i zablokowała portal składania wniosków o kartę Oyster dla młodych. TfL było zmuszone odłączyć systemy, by powstrzymać włamanie.
To był najgorszy incydent, z jakim się spotkałem w swojej karierze.
- Hakerzy uzyskują początkowy dostęp do systemów TfL poprzez inżynierię społeczną na infolinii.
- TfL odłącza systemy, aby zatrzymać atak po czterech dniach.
- Jubair i Flowers przyznają się do winy za atak na TfL.
- Obaj skazani na pięć i pół roku więzienia.
Skutki i koszty
Bezpośrednia strata finansowa sięgnęła 29 milionów funtów, choć niektóre raporty podają łącznie 39 milionów funtów. Wszyscy 28 000 pracowników TfL musieli osobiście zresetować hasła. Usługa Dial-a-Ride dla pasażerów z niepełnosprawnościami przez tygodnie nie mogła przetwarzać rezerwacji, a aplikacje z rozkładami jazdy w czasie rzeczywistym, takie jak TfL Go i Citymapper, przestały działać. Skradziono dane należące do milionów pasażerów. Prokuratorzy stwierdzili, że hakerzy mogli wyrządzić „katastrofalne szkody”, a gdyby systemy nie zostały odłączone, potencjalne straty pośrednie mogłyby sięgnąć 56 miliardów funtów.
Hakerzy
Jubair (20 l.) z Tower Hamlets miał 22 wcześniejsze wyroki, w tym za stalking oraz ataki na BT/EE, Nvidię i City of London Police. Został również oskarżony w Stanach Zjednoczonych o spisek w celu popełnienia oszustwa komputerowego, oszustwa elektronicznego i prania pieniędzy – zarzucono mu wyłudzenie 115 milionów dolarów okupu. Flowers (18 l.) z Walsall został aresztowany podczas włamywania się do dwóch amerykańskich dostawców opieki zdrowotnej, SSM Health i Sutter Health, zaledwie kilka dni po ataku na TfL. Obaj mieszkali z rodzinami, komunikowali się przez Telegram, a Flowers transmitował atak na żywo. Jubaira zidentyfikowano częściowo dlatego, że zamówił jedzenie do domu, używając bonów zakupionych za kryptowalutę powiązaną z serwerem przechowującym okupy.
Zakłócenie działań Scattered Spider
Para była kluczowymi członkami Scattered Spider, luźnego kolektywu anglojęzycznych hakerów powiązanego z atakami na MGM, Marks & Spencer, Harrods i inne. Paul Foster, szef Krajowej Jednostki ds. Cyberprzestępczości NCA, oświadczył, że wyroki „poważnie osłabiły” zdolność grupy do działania.
Scattered Spider był najpoważniejszym zagrożeniem cyberprzestępczym dla Wielkiej Brytanii w ostatnich latach. Dzięki temu śledztwu znacznie osłabiliśmy to zagrożenie i postawiliśmy przed wymiarem sprawiedliwości kluczowych przestępców.
Wyrok
16 lipca 2026 r. w Woolwich Crown Court sędzia Mark Turner skazał obu na pięć i pół roku więzienia. Uznał ich młody wiek, ale podkreślił, że powaga przestępstwa wymaga kary pozbawienia wolności, stwierdzając, że kierowali się „samolubną brawurą, nie zważając na poważne konsekwencje dla innych”.


