Zestien uur, live gestreamd, in de laatste dagen van augustus
Tussen 31 augustus en 3 september 2024 namen twee tieners het IT-landschap van de organisatie die Londen in beweging houdt uit elkaar, en een deel daarvan streamden zij live terwijl zij bezig waren. Op 16 juli legde Mr Justice Turner bij Woolwich Crown Court aan Owen Flowers, 18, uit Walsall, en Thalha Jubair, 20, uit Bow in Oost-Londen elk vijf jaar en zes maanden op, een straf waarin al een korting van 15 procent is verwerkt omdat zij in juni schuld bekenden. Beiden werden vervolgd voor hun aandeel in de inbraak bij Transport for London, het orgaan dat verantwoordelijk is voor de metro, de bussen en de wegen waar dagelijks miljoenen mensen gebruik van maken.
De National Crime Agency omschreef dit niet als een gewone zaak. Paul Foster, adjunct-directeur van de dienst, noemde het de grootste cybercrimezaak die ooit voor de Britse rechter is gebracht, en typeerde de groep erachter als de zwaarste cybercrimedreiging voor het Verenigd Koninkrijk. Het tweetal hoort bij het losse netwerk dat onderzoekers Scattered Spider noemen, hetzelfde cluster dat in verband wordt gebracht met de aanval op MGM Resorts in 2023 en met de golf die in 2025 Britse retailers trof. Jubair alleen al wordt beschuldigd van het compromitteren van 120 netwerken van 47 Amerikaanse organisaties, activiteit die gekoppeld is aan meer dan 115 miljoen dollar aan losgeldbetalingen.
Wat deze zaak een uur van de aandacht van iedere exploitant waard maakt, is niet de straf. Het is de rekensom eronder. TfL betaalde geen losgeld. Er was geen afpersingsbetaling, geen onderhandeling, geen overboeking in cryptovaluta naar een groep die al had bewezen binnen te kunnen komen. De organisatie weigerde, herstelde en boekte alsnog een rekening van ongeveer 29 miljoen pond, ruwweg 33 miljoen euro. Dat getal is de eerlijke prijs van deze aanval, en het is het getal dat in uw eigen planning thuishoort, want dit is wat er gebeurt als het antwoord op de eis nee is.
Ze forceerden de deur niet. Ze belden de helpdesk
De route naar binnen had geen enkel exotisch onderdeel. De aanvallers verwierven gedeeltelijke inloggegevens via criminele fora, het soort fragmentarisch materiaal dat zich in de loop van jaren van onderling losstaande datalekken ophoopt en dat vrijwel niets kost. Gedeeltelijke inloggegevens zijn geen toegang. Wat ze in toegang veranderde, was de volgende stap: phishing en social engineering gericht op mensen, en een helpdesk die overgehaald kon worden om de multifactorauthenticatie te resetten nadat een van de aanvallers zich voordeed als medewerker. De tweede factor deed waarvoor hij was ontworpen. Hij werd simpelweg overhandigd door het proces dat bestaat om medewerkers te helpen die buitengesloten zijn.
Dit is het ongemakkelijke deel, want de maatregel die faalde staat op geen enkel architectuurdiagram. Organisaties kopen MFA en boeken het risico vervolgens af als behandeld. Het restrisico zit in het herstelpad, en dat herstelpad is een mens onder tijdsdruk wiens werk het is om behulpzaam te zijn, die wordt afgerekend op hoe snel de wachtrij leegloopt, en die geen betrouwbare manier heeft om te bewijzen dat de bezorgde stem aan de lijn hoort bij de naam op het ticket. Elk gehard identiteitssysteem ter wereld wordt geleverd met een zachte omzeilroute, en die omzeilroute wordt bemand door iemand die op snelheid wordt gemeten.
Het forensisch onderzoek toont een zaak die is opgebouwd uit gewone dingen in plaats van slimme. Op een Acer-laptop van Flowers stonden logbestanden van toegang tot infrastructuur op afstand, video's en schermafbeeldingen van de aanval zelf, spreadsheets met inloggegevens van TfL-medewerkers, en betalingsgegevens in cryptovaluta die overeenkwamen met maaltijdbezorgingen naar zijn eigen adres. Op dezelfde machine stonden sporen die verwezen naar inbraken bij de Amerikaanse zorgaanbieders SSM Health en Sutter Health. De mensen die een vervoersautoriteit 29 miljoen pond kostten, bestelden ondertussen het avondeten naar het appartement van waaruit ze het deden.
Achtentwintigduizend mensen, één rij, geen sluiproute
Hier ging het geld daadwerkelijk naartoe. Ongeveer 28.000 medewerkers van TfL moesten persoonlijk naar een kantoor komen zodat hun wachtwoord kon worden gereset door een andere mens die hun gezicht kon zien. Geen link in een e-mail. Geen selfserviceportaal. Geen telefoontje naar de helpdesk, want juist de helpdesk was misbruikt. Zodra het identiteitssysteem zelf verdacht is, erft elk kanaal op afstand waarmee u aantoont wie u bent die verdenking, en het enige instrument dat dan nog overblijft en dat een aanvaller niet op grote schaal kan vervalsen, is fysieke aanwezigheid. Dat is de kostendrijver, en het is een logistiek probleem met een cybersecuritylabel erop.
Maak die rekensom voor uw eigen organisatie, want hij is genadeloos en niemand maakt hem vooraf. Neem uw personeelsbestand. Deel dat door het aantal mensen dat u per uur realistisch persoonlijk zou kunnen identificeren, op al uw locaties bij elkaar, op een dag waarop uw systemen plat liggen en uw medewerkers de instructies niet per e-mail kunnen krijgen. Dat quotiënt is uw hersteltijd, en het wordt niet korter omdat u een beter product hebt gekocht. De 148 getroffen systemen van TfL waren de technische omvang. Achtentwintigduizend identiteiten waren de operationele omvang, en dat tweede getal bepaalde de rekening.
De staart richting de klant duurde veel langer dan de inbraak zelf. De aanval besloeg drie dagen eind augustus. De uitgifte van reispassen met foto kwam pas op 4 december 2024 terug, ruim drie maanden later, naast verstoringen van accountlogins, klantportalen, gekoppelde applicaties van derden en kaartautomaten. Van zeven miljoen gebruikers lagen gegevens bloot. Een inbraak die in dagen wordt gemeten leverde een storing op die in maanden wordt gemeten, en elk bestuur dat de uitvaltijd afleidt uit de duur van de aanval, leest de tijdlijn vanaf het verkeerde uiteinde.
Pas de tweede veroordeling in zijn soort
Het juridische detail doet er meer toe dan het lijkt. Flowers en Jubair zijn veroordeeld op grond van Section 3ZA van de Computer Misuse Act 1990, de bepaling die is voorbehouden aan onbevoegde handelingen die ernstige schade van materiële aard veroorzaken of het risico daarop scheppen. Dit is pas de tweede veroordeling die ooit op grond van dat artikel is uitgesproken. Vijfendertig jaar lang heeft de wet vooral aanklachten opgeleverd voor onbevoegde toegang en aantasting; het onderdeel over ernstige schade is vrijwel theoretisch gebleven. Dat is nu aantoonbaar bruikbaar, en het werd ingezet bij een aanval op vervoer en niet op een ziekenhuis of een energiecentrale.
Lees dat als een signaal over waar Britse aanklagers vinden dat de grens ligt. Section 3ZA bestaat voor gevolgen voor de fysieke wereld en voor het nationale leven, en een openbaarvervoernetwerk voldeed daaraan. Elke exploitant wiens uitval het gewone functioneren van een stad zou onderbreken, moet ervan uitgaan dat dezelfde redenering geldt bij een aanval op hem, en dat pakt ook gunstig uit: de staat behandelt een inbraak in dat soort infrastructuur nu als een misdrijf met ernstige schade, en is bereid er jaren in te steken om de zaak rond te krijgen die dat bewijst.
Het zet ook een ijkpunt voor afschrikking dat eigenaren eerlijk moeten lezen. Vijfenhalf jaar voor 29 miljoen pond schade en zeven miljoen blootgelegde records is een reële straf, die bijna twee jaar na de aanval komt, tegen twee mensen uit een netwerk dat al die tijd actief is gebleven. Vervolging is een gevolg, geen beheersmaatregel. Ze straft de daders lang nadat uw herstel is afgerond en uw geld is uitgegeven, en niets in dit vonnis had de rij bij TfL ook maar één uur korter gemaakt.
Vier vragen voor uw eigen helpdesk, deze week
Kan uw helpdesk multifactorauthenticatie resetten op basis van een telefoongesprek? Zo ja, dan heeft u de kwetsbaarheid van TfL, wat uw securitystack ook kost. De oplossing is procedureel en niet technisch: eis een verificatiepad dat de beller niet uit gestolen fragmenten kan leveren, zoals bevestiging via een leidinggevende op een kanaal waarvan de echtheid vaststaat, een videocontrole aan de hand van het personeelsdossier, of fysieke aanwezigheid voor accounts met verhoogde rechten. Het is trager en medewerkers zullen klagen. Die klacht is de maatregel die werkt.
Hoe lang doet u erover om iedereen opnieuw te identificeren? Maak die deling. Als het antwoord langer is dan twee weken, bepaal dan nu welke rollen als eerste worden hersteld, want op de dag zelf doet u die triage in allerijl terwijl een directielid over uw schouder meekijkt. Schrijf de volgorde op terwijl het rustig en saai is, en bewaar hem ergens waar hij het verlies overleeft van de systemen die hij beschrijft.
Wat breekt er voor uw klanten, en hoe lang nadat u zelf weer schoon bent? Het interne herstel van TfL en het publieke herstel waren twee verschillende gebeurtenissen, drie maanden uit elkaar. Breng de processen in kaart die klanten raken en die afhangen van gegevens die u zou moeten herbouwen of opnieuw verifiëren, en beprijs die los van uw technische herstel. Daar zit de reputatieschade, en daar houdt het getal op een IT-kostenpost te lijken en gaat het op omzet lijken.
Lees hierna: Één commit is geen audit trail | Elf ondertekende bootloaders omzeilen Secure Boot



