Sexton timmar, livesänt, i augustis sista dagar
Mellan den 31 augusti och den 3 september 2024 plockade två tonåringar isär it-miljön hos den organisation som får London att röra sig, och sände delar av arbetet live medan det pågick. Den 16 juli dömde Mr Justice Turner vid Woolwich Crown Court Owen Flowers, 18, från Walsall, och Thalha Jubair, 20, från Bow i östra London, till fem år och sex månader vardera, ett straff som redan rymmer en nedsättning på 15 procent för de erkännanden de lämnade i juni. Båda åtalades för sin del i intrånget hos Transport for London, myndigheten som ansvarar för tunnelbanan, bussarna och vägarna som miljontals människor använder varje dag.
National Crime Agency beskrev inte det här som ett vanligt ärende. Paul Foster, myndighetens biträdande direktör, kallade det det största åtal för it-brottslighet som någonsin väckts vid brittisk domstol, och framställde gruppen bakom attacken som det allvarligaste it-brottshotet mot Storbritannien. De båda hör hemma i det löst sammanhållna nätverk som forskare kallar Scattered Spider, samma kluster som förknippas med attacken mot MGM Resorts 2023 och med vågen som drabbade brittiska detaljhandlare 2025. Jubair ensam anklagas för att ha komprometterat 120 nätverk hos 47 amerikanska organisationer, en verksamhet som kopplas till mer än 115 miljoner dollar i lösensummor.
Det som gör fallet värt en timme av varje verksamhetsansvarigs uppmärksamhet är inte straffet. Det är räknestycket under det. TfL betalade ingen lösensumma. Det fanns ingen utpressningsbetalning, ingen förhandling, ingen kryptoöverföring till en grupp som redan hade bevisat att den kunde ta sig in. Organisationen vägrade, återställde och bokförde ändå en nota på omkring 29 miljoner pund, ungefär 33 miljoner euro. Det talet är det ärliga priset för den här attacken, och det är det tal som hör hemma i er egen planering, eftersom det är vad som händer när svaret på kravet är nej.
De slog inte in dörren. De ringde helpdesken
Vägen in innehöll ingen exotisk komponent alls. Angriparna skaffade ofullständiga inloggningsuppgifter från kriminella forum, den sortens fragmentariska material som samlas på hög efter år av orelaterade dataintrång och kostar mycket lite. Ofullständiga uppgifter är inte åtkomst. Det som förvandlade dem till åtkomst var nästa steg: nätfiske och social manipulation riktad mot människor, och en helpdesk som gick att övertala att återställa multifaktorautentiseringen sedan en av angriparna utgett sig för att vara anställd. Den andra faktorn gjorde precis det den var byggd för att göra. Den lämnades helt enkelt över av den process som finns till för att hjälpa personal som har låst ut sig.
Det här är den obekväma delen, eftersom kontrollen som brast inte syns på något arkitekturdiagram. Organisationer köper MFA och bokför sedan risken som hanterad. Den kvarvarande risken ligger i återställningsvägen, och återställningsvägen är en människa under tidspress vars uppgift är att vara hjälpsam, som bedöms efter hur snabbt kön betas av, och som inte har något tillförlitligt sätt att bevisa att den oroliga rösten i luren tillhör namnet på ärendet. Varje härdat identitetssystem i världen levereras med en mjuk förbikoppling, och förbikopplingen bemannas av någon som mäts på snabbhet.
Kriminaltekniken visar ett fall byggt av vardagliga saker snarare än sinnrika. En Acer-laptop som tillhörde Flowers innehöll loggar över åtkomst till fjärrinfrastruktur, videor och skärmbilder från själva attacken, kalkylblad med inloggningsuppgifter för TfL-anställda och noteringar om kryptobetalningar som stämde med matleveranser till hans egen adress. Samma maskin bar spår som knöt an till intrång hos de amerikanska vårdgivarna SSM Health och Sutter Health. Personerna som kostade en transportmyndighet 29 miljoner pund beställde hem middag till lägenheten de utförde det från.
Tjugoåttatusen personer, en kö, ingen genväg
Det är hit pengarna faktiskt gick. Ungefär 28 000 TfL-anställda var tvungna att infinna sig personligen på ett kontor så att deras lösenord kunde återställas av en annan människa som kunde se deras ansikte. Ingen länk i ett mejl. Ingen självbetjäningsportal. Inget samtal till helpdesken, eftersom helpdesken var precis det som hade missbrukats. När identitetssystemet självt är misstänkt faller misstanken över varje kanal på distans som ska bevisa vem ni är, och det enda instrument som återstår och som en angripare inte kan förfalska i stor skala är fysisk närvaro. Det är kostnadsdrivaren, och det är ett logistikproblem med en cybersäkerhetsetikett på sig.
Gör räkneövningen på er egen organisation, för den är obarmhärtig och ingen gör den i förväg. Ta ert antal anställda. Dela med hur många personer ni rimligen skulle kunna legitimera personligen per timme, över samtliga anläggningar ni driver, en dag när era system ligger nere och personalen inte kan få instruktionerna mejlade till sig. Kvoten är er återställningstid, och den blir inte kortare för att ni har köpt en bättre produkt. TfL:s 148 drabbade system var den tekniska omfattningen. Tjugoåttatusen identiteter var den operativa omfattningen, och det är det andra talet som satte notan.
Det kunderna drabbades av varade mycket längre än intrånget. Själva attacken sträckte sig över tre dagar i slutet av augusti. Utfärdandet av foto-resekort kom inte tillbaka förrän den 4 december 2024, mer än tre månader senare, parallellt med störningar i kontoinloggningar, kundportaler, anslutna tredjepartsapplikationer och biljettautomater. Sju miljoner användare fick uppgifter exponerade. Ett intrång mätt i dagar gav ett driftavbrott mätt i månader, och varje styrelse som resonerar om nedtid utifrån attackens längd läser fel ände av tidslinjen.
Bara den andra fällande domen i sitt slag
Den juridiska detaljen betyder mer än den ser ut att göra. Flowers och Jubair dömdes enligt Section 3ZA i Computer Misuse Act 1990, den brittiska lagen om datormissbruk, den bestämmelse som är reserverad för obehöriga handlingar som orsakar, eller skapar risk för, allvarlig skada av materiellt slag. Detta är bara den andra fällande domen någonsin enligt den paragrafen. I 35 år har lagen mest levererat åtal för obehörig åtkomst och skada på system, och rekvisitet om allvarlig skada har varit närmast teoretiskt. Det är nu bevisligen användbart, och det användes på en attack riktad mot kollektivtrafiken snarare än mot ett sjukhus eller ett kraftverk.
Läs det som en signal om var brittiska åklagare anser att gränsen går. Section 3ZA finns till för konsekvenser i den fysiska världen och för samhällslivet, och ett kollektivtrafiknät uppfyllde det kriteriet. Varje verksamhet vars haveri skulle avbryta en stads normala funktion bör utgå från att samma resonemang gäller vid en attack mot den, och det slår åt ett håll som gagnar er: staten behandlar nu ett intrång i den sortens infrastruktur som ett brott med allvarlig skada, och den är beredd att lägga år på att bygga fallet som bevisar det.
Domen sätter också ett riktmärke för avskräckning som ägare bör läsa ärligt. Fem och ett halvt år för skador på 29 miljoner pund och sju miljoner exponerade poster är ett verkligt straff, som kommer nästan två år efter attacken, mot två personer ur ett nätverk som fortsatte att verka hela tiden. Åtal är en konsekvens, inte en kontroll. Det straffar dem som gjorde det långt efter att er återställning är klar och era pengar är spenderade, och ingenting i den här domen hade kortat TfL:s kö med en enda timme.
Fyra frågor till er egen servicedesk den här veckan
Kan er helpdesk återställa multifaktorautentisering med stöd av ett telefonsamtal? Om svaret är ja har ni TfL:s sårbarhet, vad er säkerhetsstack än kostar. Åtgärden är procedurmässig snarare än teknisk: kräv en verifieringsväg som den som ringer inte kan uppbringa ur stulna fragment, till exempel bekräftelse via en chef på en känd och säker kanal, en videokontroll mot ett personalregister, eller fysisk närvaro för privilegierade konton. Det går långsammare och personalen kommer att klaga. Klagomålet är kontrollen som fungerar.
Hur lång tid tar det för er att legitimera alla på nytt? Gör divisionen. Om svaret är längre än fjorton dagar, bestäm redan nu vilka roller som återupprättas först, för på dagen då det gäller kommer ni att göra den prioriteringen i hast med en chef som andas er i nacken. Skriv ned ordningen medan det är lugnt och tråkigt, och förvara den någonstans som överlever förlusten av de system den beskriver.
Vad slutar fungera för era kunder, och hur länge efter att ni är rena? TfL:s interna återställning och dess offentliga återställning var två skilda händelser, tre månader isär. Identifiera de processer som rör kunder och som är beroende av data ni skulle behöva bygga upp eller verifiera på nytt, och prissätt dem separat från er tekniska återställning. Det är där ryktesskadan uppstår, och där talet slutar se ut som en it-kostnad och börjar se ut som intäkter.
Läs vidare: En enda commit är inget granskningsspår | Elva signerade bootloaders kringgår Secure Boot



