Dezasseis horas, em direto, nos últimos dias de agosto

Entre 31 de agosto e 3 de setembro de 2024, dois adolescentes desmontaram o parque tecnológico da organização que move Londres e transmitiram parte do trabalho em direto enquanto o faziam. A 16 de julho, no Woolwich Crown Court, o juiz Turner condenou Owen Flowers, de 18 anos, de Walsall, e Thalha Jubair, de 20 anos, de Bow, no leste de Londres, a cinco anos e seis meses cada um, uma pena que já inclui uma redução de 15 por cento pelas declarações de culpa apresentadas em junho. Ambos foram julgados pela participação na intrusão na Transport for London, o organismo responsável pelo metro, pelos autocarros e pelas estradas usados por milhões de pessoas todos os dias.

A National Crime Agency não descreveu este caso como um processo comum. Paul Foster, diretor-adjunto da agência, chamou-lhe o maior processo de cibercrime alguma vez levado aos tribunais do Reino Unido e apresentou o grupo que está por trás dele como a ameaça de cibercrime mais significativa para o país. A dupla insere-se na rede difusa a que os investigadores chamam Scattered Spider, o mesmo conjunto associado ao ataque à MGM Resorts em 2023 e à vaga que atingiu os retalhistas britânicos em 2025. Só Jubair é acusado de ter comprometido 120 redes pertencentes a 47 organizações dos Estados Unidos, atividade ligada a mais de 115 milhões de dólares em pagamentos de resgate.

O que torna o caso digno de uma hora da atenção de qualquer operador não é a pena. É a aritmética que está por baixo dela. A TfL não pagou resgate. Não houve pagamento de extorsão, não houve negociação, não houve transferência de criptomoeda para um grupo que já tinha provado ser capaz de entrar. A organização recusou, recuperou e registou mesmo assim uma fatura de cerca de 29 milhões de libras, cerca de 33 milhões de euros. Esse número é o preço honesto deste ataque, e é o número que pertence ao seu próprio planeamento, porque é aquilo que acontece quando a resposta à exigência é não.

Não forçaram a porta. Telefonaram para o serviço de apoio

A via de entrada não teve qualquer componente exótico. Os atacantes adquiriram credenciais parciais em fóruns criminosos, o tipo de material fragmentário que se acumula ao longo de anos de fugas de dados sem relação entre si e que custa muito pouco. Credenciais parciais não são acesso. O que as transformou em acesso foi o passo seguinte: phishing e engenharia social dirigidos a pessoas, e um serviço de apoio que podia ser convencido a repor a autenticação multifator depois de um dos atacantes se ter feito passar por um funcionário. O segundo fator fez aquilo para que foi concebido. Foi simplesmente entregue pelo processo que existe para ajudar quem fica sem acesso.

Esta é a parte incómoda, porque o controlo que falhou não aparece em nenhum diagrama de arquitetura. As organizações compram autenticação multifator e a seguir registam o risco como tratado. O risco residual vive no caminho de recuperação, e o caminho de recuperação é um ser humano sob pressão de tempo, cuja função é ser prestável, avaliado pela rapidez com que despacha a fila e sem forma fiável de provar que a voz ansiosa do outro lado da linha pertence ao nome que está no pedido. Todos os sistemas de identidade robustos do mundo são fornecidos com uma via alternativa mais frágil, e essa via é operada por alguém que é medido pela velocidade.

A perícia forense mostra um caso construído a partir de coisas banais e não de coisas engenhosas. Um portátil Acer pertencente a Flowers continha registos de acesso a infraestrutura remota, vídeos e capturas de ecrã do próprio ataque, folhas de cálculo com credenciais de funcionários da TfL e registos de pagamentos em criptomoeda que correspondiam a encomendas de comida entregues na sua própria morada. A mesma máquina continha vestígios que a ligavam a intrusões nos prestadores de saúde norte-americanos SSM Health e Sutter Health. As pessoas que custaram 29 milhões de libras a uma autoridade de transportes estavam a pedir o jantar para o apartamento de onde o faziam.

Vinte e oito mil pessoas, uma fila, sem atalhos

É aqui que o dinheiro foi realmente parar. Cerca de 28.000 funcionários da TfL tiveram de se deslocar pessoalmente a um escritório para que as suas palavras-passe pudessem ser repostas por outro ser humano capaz de lhes ver a cara. Não um link enviado por correio eletrónico. Não um portal de autosserviço. Não uma chamada para o serviço de apoio, porque o serviço de apoio era precisamente aquilo de que tinham abusado. Quando o próprio sistema de identidade é suspeito, todos os canais remotos para provar a sua identidade herdam essa suspeita, e o único instrumento que resta e que um atacante não consegue falsificar em larga escala é a presença física. É esse o motor do custo, e é um problema de logística com um rótulo de cibersegurança.

Faça a aritmética na sua própria organização, porque é implacável e ninguém a faz com antecedência. Pegue no seu número de efetivos. Divida-o pelo número de pessoas que conseguiria plausivelmente identificar presencialmente por hora, em todas as instalações que opera, num dia em que os seus sistemas estão em baixo e não é possível enviar as instruções ao seu pessoal por correio eletrónico. Esse quociente é o seu tempo de recuperação, e não encurta por ter comprado um produto melhor. Os 148 sistemas afetados da TfL eram o âmbito técnico. Vinte e oito mil identidades eram o âmbito operacional, e foi o segundo número que fixou a fatura.

A cauda visível para os clientes durou muito mais tempo do que a intrusão. O ataque em si estendeu-se por três dias no final de agosto. A emissão de passes de transporte com fotografia só regressou a 4 de dezembro de 2024, mais de três meses depois, a par de perturbações nos inícios de sessão das contas, nos portais de clientes, nas aplicações de terceiros ligadas e nas máquinas de bilhetes. Sete milhões de utilizadores tiveram informação exposta. Uma intrusão medida em dias produziu uma interrupção de serviço medida em meses, e qualquer administração que raciocine sobre a indisponibilidade a partir da duração do ataque está a ler o lado errado da cronologia.

Apenas a segunda condenação do género

O detalhe jurídico importa mais do que parece. Flowers e Jubair foram condenados ao abrigo da Section 3ZA do Computer Misuse Act de 1990, a disposição reservada a atos não autorizados que causem, ou criem o risco de, danos graves de natureza material. Esta é apenas a segunda condenação alguma vez obtida ao abrigo dessa secção. Durante 35 anos, a lei produziu sobretudo acusações por acesso não autorizado e por degradação de sistemas; a vertente dos danos graves esteve perto de ser teórica. Está agora demonstravelmente utilizável, e foi utilizada num ataque contra os transportes e não contra um hospital ou uma central elétrica.

Leia isso como um sinal sobre o sítio onde os procuradores britânicos acham que está a linha. A Section 3ZA existe para consequências no mundo físico e na vida nacional, e uma rede de transportes públicos qualificou-se. Qualquer operador cuja falha interrompa o funcionamento normal de uma cidade deve assumir que o mesmo raciocínio se aplica a um ataque contra si, o que corta numa direção útil: o Estado trata agora uma intrusão nesse tipo de infraestrutura como um crime de danos graves, e está disposto a passar anos a construir o processo que o prova.

Também fixa um marco sobre dissuasão que os proprietários devem ler com honestidade. Cinco anos e meio por 29 milhões de libras de danos e sete milhões de registos expostos é uma pena real, que chega quase dois anos depois do ataque, contra duas pessoas de uma rede que continuou a operar durante todo esse tempo. A ação penal é uma consequência, não um controlo. Pune quem o fez muito depois de a sua recuperação estar concluída e de o seu dinheiro estar gasto, e nada nesta sentença teria encurtado a fila da TfL numa única hora.

Quatro perguntas para o seu serviço de apoio esta semana

O seu serviço de apoio consegue repor a autenticação multifator com base num telefonema? Se sim, tem a vulnerabilidade da TfL, custe o que custar a sua pilha de segurança. A correção é processual e não técnica: exija uma via de verificação que quem telefona não consiga fornecer a partir de fragmentos roubados, como a confirmação através de uma chefia por um canal reconhecidamente fiável, uma verificação por vídeo cotejada com o registo de pessoal, ou a presença física para contas privilegiadas. É mais lento e o pessoal vai queixar-se. Essa queixa é o controlo a funcionar.

Quanto tempo demora a reidentificar toda a gente? Faça a divisão. Se a resposta for mais de quinze dias, decida agora que funções são restabelecidas primeiro, porque no dia estará a fazer essa triagem à pressa com um diretor em cima de si. Escreva essa ordem enquanto está tudo calmo e aborrecido, e guarde-a num sítio que sobreviva à perda dos sistemas que descreve.

O que se avaria para os seus clientes, e durante quanto tempo depois de estar tudo limpo? A recuperação interna da TfL e a sua recuperação pública foram acontecimentos diferentes, separados por três meses. Identifique os processos que tocam nos clientes e que dependem de dados que teria de reconstruir ou de voltar a verificar, e orçamente-os separadamente da sua restauração técnica. É aí que vive o dano reputacional, e é aí que o número deixa de parecer um custo de TI e começa a parecer receita.