Von&nbspGreta Ruffino&nbspmit&nbspAFP

Veröffentlicht am

Ein britisches Gericht verurteilte am Donnerstag zwei junge Männer zu Gefängnisstrafen wegen eines Cyberangriffs auf den Londoner öffentlichen Nahverkehrsbetreiber im Jahr 2024, bei dem bei einem der größten Datenschutzverstöße in Großbritannien die personenbezogenen Daten von Millionen Kunden offengelegt wurden.

Thalha Jubair, 20, aus dem Osten Londons, und Owen Flowers, 18, aus den West Midlands Englands, wurden am Woolwich Crown Court in London jeweils zu fünfeinhalb Jahren Gefängnis verurteilt.

Das Paar bekannte sich letzten Monat schuldig, zwischen dem 31. August und dem 3. September 2024 das Netzwerk von Transport for London (TfL) gehackt zu haben und sich Zugang zu den Namen und Kontaktdaten von rund sieben Millionen Kunden verschafft zu haben.

„Zwei Männer wurden verurteilt, weil sie einen Cyberangriff auf Transport for London gestartet hatten, der Verluste in zweistelliger Millionenhöhe verursachte und Tausende von Kunden betraf“, schrieb die Polizei der Stadt London auf X.

Laut Richter Mark Turner störte der Angriff die Transportdienste nicht, sondern ließ Teile der TfL-Systeme drei Monate lang offline, was die Organisation rund 25 Millionen Pfund (29,3 Millionen Euro) kostete.

Turner sagte, die Aktionen des Paares hätten „sehr ernsthafte“ Störungen verursacht und seien in erster Linie durch „egoistische Tapferkeit“ motiviert gewesen.

Wie gelang es den Hackern, in das Netzwerk von TfL einzudringen?

Laut Staatsanwalt Mark Fenhalls verschafften sich die beiden Zugang zum Verkehrsnetz, indem sie die Zugangsdaten von TfL-Mitarbeitern nutzten, die sie auf „russianmarket“, einem Dark-Web-Marktplatz für gestohlene Logins, gefunden hatten.

Das Paar arbeitete 16 Stunden am Stück und kommunizierte die ganze Nacht über über die Messaging-App Telegram, um in das System einzudringen, nachdem es den Helpdesk davon überzeugt hatte, das Passwort eines Mitarbeiters zurückzusetzen.

Während des Einbruchs durchsuchten die Teenager das Netzwerk nach Reisegeschichten von Prominenten und versuchten, an die Zahlungsinformationen der Kunden zu gelangen.

Nachdem sie über mehrere Tage hinweg zusätzliche Privilegien erlangt hatten, besaßen die Hacker praktisch „die Schlüssel zum Königreich“ und gaben ihnen „die Kontrolle über das gesamte Netzwerk“, sagte Fenhalls.

Während des Eindringens sagte Flowers zu Jubair, dass „die Regierung es verdient, gehackt zu werden“, wie das Gericht hörte, da TfL und die Behörden, die den Angriff am 1. September 2024 entdeckten, Tage brauchten, um die Kontrolle über das Netzwerk zurückzugewinnen.

„Erfahren und talentiert“

Beide Männer standen mit Scattered Spider in Verbindung, einer Cyberkriminalitätsgruppe, von der angenommen wird, dass sie hinter einer Reihe hochkarätiger Angriffe steckt, darunter auch gegen die britischen Einzelhändler Marks & Spencer und Co-op.

Die Staatsanwälte wurden im September 2025 nach Ermittlungen der National Crime Agency (NCA) verhaftet und beschrieben das Paar als „erfahrene und talentierte“ Hacker, die der Polizei seit Jahren bekannt seien.

Flowers gab außerdem zu, die in den USA ansässigen Gesundheitsdienstleister Sutter Health und SSM Health Care Corporation gehackt zu haben. Die NCA sagte, Beamte hätten ihn bei der Durchführung dieser Angriffe erwischt, als sie am 6. September 2024 im Rahmen der TfL-Ermittlungen sein Haus durchsuchten.

Jubair war zuvor als Jugendlicher wegen Cyberangriffen auf den US-Chiphersteller Nvidia verurteilt worden und gab außerdem zu, die Polizei der Stadt London gehackt zu haben.

Share.
Exit mobile version