Atak hakerski na Transport for London w 2024 r. dotknął około mln

Atak hakerski na Transport for London w 2024 r. dotknął około 10 mln osób. To więcej niż podawano

8 marca, 11:00

Wyciek danych z TfL pokazuje problem z ujawnianiem skali cyberataków w UK. (Fot. Getty Images)

Skala cyberataku na Transport for London z 2024 roku może być znacznie większa, niż oficjalnie podawano - donosi BBC. Hakerzy z grupy Scattered Spider włamali się do systemów Transport for London, kradnąc dane osobowe około 10 milionów osób i powodując straty sięgające 39 mln funtów.

W okresie od końca sierpnia do początku września 2024 roku doszło do poważnego ataku cybernetycznego na systemy Transport for London (TfL), przeprowadzonego przez grupę przestępczą Scattered Spider.

W wyniku incydentu skradziono bazę danych zawierającą dane osobowe około 10 milionów osób, w tym imiona, adresy e-mail, numery telefonów oraz adresy. Dane te zostały częściowo zweryfikowane przez BBC, po tym, jak anonimowy haker przekazał redakcji kopię pliku z bazy danych.

TfL początkowo informowało jedynie o "niektórych" klientach dotkniętych incydentem, jednak obecnie potwierdzono skalę naruszenia. W wyniku ataku usługi online TfL oraz tablice informacyjne uległy czasowemu wyłączeniu, choć transport w Londynie nie został bezpośrednio zakłócony. Straty finansowe oszacowano na 39 milionów funtów.

TfL hack in 2024 affected around 10 million people, BBC can reveal https://t.co/ePFcO3gzDS
— BBC News (UK) (@BBCNews) March 6, 2026

Firma wysłała powiadomienia e-mail do ponad 7 milionów klientów posiadających aktywne adresy e-mail, z zaznaczeniem, że wskaźnik otwarcia wiadomości wyniósł około 58%, co sugeruje, że wielu użytkowników mogło nie zostać poinformowanych o naruszeniu danych.

TfL poinformowało w czasie incydentu, że zidentyfikowało około 5 000 klientów o podwyższonym ryzyku, ponieważ dostęp mógł zostać uzyskany również do danych dotyczących zwrotów za kartę Oyster, które mogą zawierać dane do rachunków bankowych. Zostały one indywidualnie powiadomione oraz otrzymały wsparcie.

Eksperci ds. ochrony danych wskazują, że brak pełnej transparentności firm wobec skali takich incydentów utrudnia walkę z cyberprzestępczością i zwiększa zagrożenie dla osób poszkodowanych.

Firmy w UK, które padną ofiarą cyberataków, nie mają prawnego obowiązku publicznego ujawniania całkowitej liczby osób dotkniętych wyciekiem danych. (Fot. Getty Images)

W Wielkiej Brytanii nie obowiązuje wymóg publicznego ujawniania liczby osób dotkniętych naruszeniami danych, co odróżnia ten obszar od praktyk w innych krajach, na przykład Holandii, Japonii czy Korei Południowej, gdzie firmy otwarcie komunikują skutki ataków cybernetycznych.

TfL zostało oczyszczone z zarzutów przez brytyjski organ nadzorczy ds. ochrony danych – Information Commissioner's Office (ICO) – zarówno w sprawie samego wycieku, jak i sposobu poradzenia sobie z jego skutkami.

Trwają analizy dotyczące ewentualnych dalszych konsekwencji i sposobów zwiększenia ochrony danych w sektorze transportu oraz w innych branżach.

BBC / Jagoda S.