BBC otkriva stvarne razmere curenja podataka TfL-a iz 2024. godine

Kada je Transport for London (TfL) prvi put prijavio sajber napad u septembru 2024. godine, agencija je samo nagovestila da bi „neki“ korisnici mogli biti pogođeni. Godinu dana kasnije, BBC potvrđuje da je upad bio znatno veći – procenjuje se da su ukradeni lični podaci oko 10 miliona ljudi, što ovaj incident svrstava među najveće hakerske napade u britanskoj istoriji.

Kako se napad odvijao

Napad je izvela kriminalna grupa Scattered Spider. Između kraja avgusta i početka septembra 2024. godine, hakeri su zaobišli VPN i unutrašnje odbrambene sisteme TfL-a, preuzevši kompletnu bazu podataka korisnika. Iako napad nije zaustavio vozove ili autobuse, onemogućio je onlajn usluge TfL-a, informativne table i niz digitalnih alata na koje se milioni ljudi svakodnevno oslanjaju.

Šta je ukradeno?

Prema navodima BBC-ja, ukradena datoteka sadržala je:

• Imena
• Imejl adrese
• Brojeve fiksnih i mobilnih telefona
• Fizičke adrese

Baza je sadržala skoro 15 miliona redova podataka, od kojih su mnogi bili duplikati, a uključivala je čak i lične podatke autora samog članka.

Reakcija TfL-a

Nakon hakovanja, TfL je poslao imejl na 7.113.429 registrovanih naloga. BBC izveštava da je stopa otvaranja poruka bila 58%, što znači da milioni pogođenih korisnika nikada nisu videli zakonsko obaveštenje, dok su mnogi bez registrovane imejl adrese ostali potpuno neobavešteni.

TfL je takođe identifikovao oko 5.000 korisnika kao „visokorizične“ jer je postojala mogućnost pristupa njihovim podacima o refundaciji Oyster kartica, koji mogu sadržati brojeve bankovnih računa i kodove banaka. Tim osobama su poslata dodatna pisma podrške poštom i imejlom.

Finansijske posledice

Upad je koštao TfL oko 39 miliona funti neposredne štete, dok kasniji izveštaji navode da su ukupni troškovi oporavka iznosili oko 30 miliona funti, s obzirom na to da je agencija radila na obnovi IT okruženja i jačanju bezbednosnih sistema.

Pravni i regulatorni epilog

Kancelarija poverenika za informacije (ICO) istražila je incident i u februaru 2025. zaključila da „formalna regulatorna mera nije bila srazmerna“. ICO je saopštio da je u potpunosti obavešten o razmerama upada i da će reagovati ako nove informacije promene trenutnu procenu rizika.

U međuvremenu, dva britanska tinejdžera optužena su za ovaj napad. Njihovo suđenje treba da počne u junu 2026. godine, što će pružiti redak uvid u to kako se u Velikoj Britaniji procesuiraju sajber zločini koje predvode mladi.

Mišljenje stručnjaka

Konsultant za zaštitu podataka Carl Gottleib naglašava da je poznavanje tačnih razmera upada ključno: „Veliki skupovi podataka su vredniji napadačima i verovatnije je da će biti korišćeni u budućim pokušajima prevare.“ Istraživač bezbednosti Kevin Beaumont dodaje da je transparentnost „osnovni uslov za poverenje“ i poziva na strože zakone u Velikoj Britaniji koji bi primorali kompanije da objavljuju pune podatke o broju pogođenih korisnika.

Šta ovo znači za putnike

Iako se trenutni rizik od direktne finansijske krađe čini niskim, izloženi lični podaci mogli bi završiti na forumima mračnog veba (dark web) ili u fišing kampanjama. Pogođeni građani treba da budu oprezni u vezi sa neželjenim porukama, da dvaput provere sve zahteve za novac preko poznatih kontakata i da razmotre praćenje kreditnih izveštaja zbog sumnjivih aktivnosti.

Pogled u budućnost

Hakovanje TfL-a služi kao opomena organizacijama u javnom sektoru koje upravljaju ogromnim bazama podataka građana. Čak i kada osnovne usluge – vozovi, autobusi, metro – nastave da funkcionišu, kolateralna šteta po privatnost može biti dalekosežna. Dok regulatori raspravljaju o strožim pravilima obaveštavanja o povredama podataka, ostaje nada da će budući incidenti biti praćeni većom otvorenošću, bržim otklanjanjem posledica i jačim merama zaštite građana.

Za kompletan izveštaj BBC-ja, pogledajte BBC News – Hakovanje TfL-a 2024. godine pogodilo oko 10 miliona ljudi.