Milhões de dados de passageiros foram roubados, os londrinos ficaram sem um tostão e 27.000 funcionários da Transport for London foram forçados a redefinir as suas palavras-passe.
Durante quatro dias em 2024, dois hackers adolescentes assumem o controle da rede de transporte de Londres. Thalha Jubair e Owen Flowers mergulharam no coração dos sistemas de transporte de TI de Londres e detêm as “chaves do reino”.
Embora as principais redes de metrô e ônibus não tenham sido diretamente afetadas, os serviços de discagem para passageiros com deficiência não conseguiram processar reservas por um período de tempo. O chefe da TfL, Andy Lord – um veterano da British Airways – disse que o ataque foi o pior incidente que ele já enfrentou em sua carreira.
A TfL disse que o ataque, ocorrido entre 31 de agosto e 3 de setembro de 2024, pode causar “danos graves” aos seus sistemas tecnológicos e causar “degradação e interrupção significativa e prolongada dos serviços de transporte”.
No final, a dupla só foi interrompida quando o TfL essencialmente “desligou” seu sistema.
Eles se declararam culpados em junho e, na quinta-feira, Jubair foi condenado a cinco anos e meio de prisão pelo ataque, e Flowers a cinco anos e meio de prisão pelos crimes de TfL, bem como pela invasão de dois prestadores de cuidados de saúde dos EUA.
A certa altura, de acordo com os promotores do caso, Jubair e Flowers “poderiam ter fechado e encerrado completamente o TfL” depois de hackearem seu caminho para o “acesso com privilégios mais altos” no sistema e criarem uma conta de “administrador de domínio” descrita no tribunal como “a chave do reino”. Eles até procuraram celebridades no banco de dados de clientes do TfL.
Ambos os hackers parecem viver vidas online fechadas e têm um impacto desproporcional no mundo exterior.
Jubair, 20 anos, mora com os pais em um apartamento municipal em Bow, leste de Londres, e Flowers, 19, mora com a avó e o tio em uma propriedade de três quartos em Walsall, em West Midlands. Eles se comunicaram durante o hack usando o serviço de mensagens Telegram, e Flowers gravou transmissões ao vivo dos ataques que Jubair transmitiu enquanto cometia o crime durante vários dias.
Os dois são figuras-chave de um grupo de hackers de língua inglesa conhecido como Scattered Spider, que é suspeito de realizar vários hacks nos últimos anos. As atividades do casal os enriqueceram, ganhando milhões de dólares em criptomoedas.
O nome Scattered Spider foi dado a esses hackers por pesquisadores de segurança cibernética que criaram o apelido para o grupo que monitoravam. Jubair e Bunga aceitam, trocando mensagens citando Scattered Spiders durante o ataque. Flowers avisa seu parceiro que “o passe de aranha espalhada de nível 5 será revogado”, enquanto ele aparentemente reclama do lento progresso de Jubair. Em um bate-papo em grupo subsequente, Jubair escreveu: “ESPALHANDO ARANHAS CRIAM TEIAS SOB O GRND”.
Sabia-se que Flowers passava a maior parte do tempo em seu quarto jogando videogame – uma rota comum para hackers – e usando fóruns de bate-papo. Jubair também iniciou o mundo dos jogos e assediou outros jogadores roubando seus nomes de usuário, antes de realizar atividades criminosas.
Jubair, cujo pai era prestador de cuidados e cuja mãe abandonou o emprego para cuidar do filho em tempo integral, foi hacker desde muito jovem. Ele estudou localmente, foi aprovado em vários GCSEs e tentou se matricular na faculdade. Mas ele sempre se interessou por computação e jogos.
Uma audiência de sentença de dois dias no tribunal de Woolwich revelou esta semana que Jubair aprendeu a usar um smartphone aos quatro anos de idade, tinha um laptop e jogava desde os seis ou sete anos, escreveu seus próprios programas de computador aos 10 anos de idade, e aos 13 anos foi apresentado ao hacking por um hacker mais velho.
Antes de sua sentença no TfL, Jubair foi condenado por 22 crimes quando adolescente, incluindo 13 acusações de fraude, duas acusações de acesso não autorizado a um computador, uma acusação de obtenção de acesso a um computador e uma acusação de chantagem. Ele também foi condenado no tribunal de menores por perseguir duas jovens e invadir servidores da polícia da cidade de Londres. Jubair tinha 18 anos quando executou o hack do TfL.
após a promoção do boletim informativo
Ambos os réus foram diagnosticados com autismo e Jubair sofria de depressão grave e transtornos de humor. O tribunal da coroa de Woolwich ouviu que Jubair havia tentado o suicídio e que desde tenra idade ele havia sido “condenado ao ostracismo e intimidado na escola”. Em nome de Flowers, que tinha 17 anos na época do hack, Adam Davis KC descreveu seu cliente como “uma criança imatura tentando se exibir online”, que passou por uma “infância incerta”, incluindo contato com serviços infantis um ano depois de seu nascimento. Davis disse que Flowers passou por um isolamento “significativo” durante sua infância e teve dificuldades com as relações sociais.
Flowers também estava ativa antes do ataque cibernético da TfL. Ele já era conhecido da polícia e teve contato com eles depois de completar 16 anos. Ele foi sujeito a um aviso de cessação e desistência emitido pela polícia de West Midlands em outubro de 2023. Flowers recebeu treinamento para orientá-lo a se afastar do crime cibernético, mas ele recusou e recebeu conselhos sobre crimes de uso indevido de computador.
O hack do TfL não foi um ataque de “ransomware”, no qual os sistemas de TI são criptografados e os dados roubados, permitindo que os hackers exijam um resgate em criptomoeda pela descriptografia e devolução dos dados.
Apesar disso, Jubair e Bunga tiveram contato com uma grande quantia de dinheiro. A audiência foi informada anteriormente que US$ 10 milhões (£ 7,5 milhões) foram transferidos da carteira criptográfica de Jubair depois que ele foi libertado da custódia em março do ano passado e US$ 200 milhões em criptografia também foram transferidos através de sua conta. A audiência anterior também foi informada de que Flowers tinha US$ 7,1 milhões, incluindo criptografia, em contas que controlava, apesar de não ter nenhuma fonte de renda.
Parece que ambos não têm um estilo de vida luxuoso. A conta criptografada de Flowers foi usada para pagar entregas de alimentos, enquanto as autoridades dos EUA conseguiram rastrear Jubair porque ele pagou pelas entregas de alimentos usando cartões-presente comprados com criptografia de uma conta suspeita de manter pagamentos de ransomware. Os especialistas apontam evidências de que os ataques do Scattered Spider são frequentemente motivados mais pelo desejo de se gabar e fama do que por ganho financeiro.
O tribunal ouviu que o ataque do TfL impediu que informações de chegada de tubo ao vivo aparecessem no aplicativo TfL Go e no site do TfL, enquanto o TfL também não conseguiu processar quaisquer pagamentos no Oyster e nos aplicativos sem contato ou registrar cartões Oyster nas contas dos clientes. O ataque custou à TfL £ 39 milhões, consistindo em £ 29 milhões em danos aos sistemas de TI e £ 10 milhões em receitas perdidas. Os dados de cerca de 7 milhões de pessoas também foram roubados.
O tribunal ouviu que Jubair e Flowers invadiram os sistemas da TfL por meio de co-conspiradores não identificados que ligaram para o suporte técnico da TfL e fingiram ser funcionários com dificuldade de acesso remoto à rede. Os manipuladores de chamadas foram induzidos a redefinir o processo de autenticação para os dispositivos que controlavam Jubair e Flowers, que então começaram a aumentar seu acesso.
Paul Foster, chefe da unidade nacional de crimes cibernéticos da Agência Nacional do Crime, disse que a sentença teve um enorme impacto no grupo Scattered Spider. “As suas atividades e impacto foram agora gravemente degradados como resultado destas ações.”
A certa altura do ataque, Bunga involuntariamente prevê as consequências de suas ações. Ao enviar uma mensagem a Jubair, ele disse: “você não vai rir enquanto estiver na prisão”.



