倫敦交通局(Transport for London,TfL)確認 2024 年遭受網絡攻擊導致逾 700 萬名乘客資料外洩,遠超事發初期對外公佈的 5,000 人,BBC 早前引述消息人士披露黑客實際存取的資料庫規模高達 1,000 萬人,令事件成為英國歷史上最嚴重資料外洩事件之一。
TfL 已向逾 700 萬名客戶發出電郵通知且電郵開啟率達 58%,即數以百萬計客戶已確認看到警告,700 萬這個數字是基於外洩資料中有電郵地址的客戶數量並已剔除重複記錄。最初披露的 5,000 人是指 Oyster 卡退款資料連同銀行帳戶號碼及分行編號等敏感財務資料可能同時外洩的高風險客戶,TfL 當時以最高優先級主動聯絡這批人。除銀行資料外外洩資料亦涵蓋客戶姓名、電郵地址以及曾提供的住宅地址。
TfL 於 2024 年 8 月確認遭受網絡攻擊而核心交通服務未受影響,惟多個網上服務系統被迫下線讓工程師有時間封鎖受損帳戶及修復漏洞,網上客戶服務平台無法正常使用且登入功能時常出錯,部分依賴 TfL 數據接口的第三方應用程式亦短暫失去存取權限。
英國國家打擊罪案局(NCA)於 2025 年 9 月分別在東倫敦及 Walsall 逮捕兩名涉案青少年,19 歲的 Thalha Jubair(網上別名 EarthtoStar)及 18 歲的 Owen Flowers 同年 11 月在南華克皇家法院就《電腦濫用法》下的共謀入侵 TfL 控罪正式否認。兩人面對英國網絡罪案法律中最嚴重的控罪之一最高刑罰為終身監禁。
Jubair 同時面對美國聯邦控罪案情更為嚴峻,美國司法部在新澤西州就其涉嫌參與至少 120 次網絡入侵及針對 47 個美國實體提出電腦詐騙、電匯詐騙及洗黑錢等控罪,受害者支付的勒索金額逾 1.15 億美元(約港幣 8.97 億元)。Flowers 亦被控共謀入侵美國醫療機構 SSM Health 及嘗試攻擊 Sutter Health 的網絡兩項控罪同樣否認。
當局將今次攻擊歸咎於 Scattered Spider 黑客組織,這個以英語為母語的網絡罪案集團慣用社會工程學攻擊及 SIM 卡換號等手法入侵大型機構,手法並不複雜卻屢屢得手並多次成功繞過大型企業的網絡防禦。
英國資訊專員辦公室(ICO)調查事件後決定不對 TfL 採取執法行動結論是 TfL 的應對措施屬適當比例,ICO 未有回應傳媒的進一步查詢。值得注意的是 700 萬這個數字並不代表黑客必然竊取所有相關人士的資料,而是指其存取系統所存放的資料庫規模,這正是法律及監管機構評估事件責任時需要審視的關鍵區別。
來源:BBC