Witamy na stronie Transinfo.pl Nie widzisz tego artykułu, bo blokujesz reklamy, korzystając z Adblocka. Oto co możesz zrobić: Wypróbuj subskrypcję TransInfo.pl (już od 15 zł za rok), która ograniczy Ci reklamy i nie zobaczysz tego komunikatu Już subskrybujesz TransInfo.pl? Zaloguj się

Wyroki za cyberatak na londyński transport publiczny. Skazani mieli 18 i 20 lat. Straty milionowe

infotrans
17.07.2026 12:04
0 Komentarzy

Atak przeprowadzony na przełomie sierpnia i września 2024 r. spowodował straty i koszty odtworzenia systemów szacowane na około 29.000.000 GBP.

Przestępcy uzyskali dostęp do wewnętrznej sieci organizatora transportu publicznego, wykradli dane pasażerów i wyłączyli 148 systemów informatycznych. Skutki zdarzenia były odczuwalne przez wiele miesięcy, między innymi w systemach obsługujących kartę Oyster, zwroty opłat i przewozy osób o ograniczonej mobilności. O podobnych cyberatakach na transport publiczny pisaliśmy już wcześniej w TransInfo.pl.

Rozkład jazdy:

  1. Jakie kary otrzymali sprawcy cyberataku na Transport for London?
  2. Ile systemów informatycznych zostało wyłączonych wskutek ataku?
  3. Do jakiej grupy cyberprzestępczej należeli skazani?
W. Brytania/ Dwóch hakerów skazanych za cyberatak na londyński transport publiczny / fot TfL
W. Brytania/ Dwóch hakerów skazanych za cyberatak na londyński transport publiczny / fot TfL

Pięć i pół roku więzienia dla każdego

Wyrok zapadł przed Woolwich Crown Court w Londynie. Thalha Jubair, 20-letni mieszkaniec wschodniej części miasta, oraz Owen Flowers, 18-latek z Walsall, otrzymali po pięć lat i sześć miesięcy pozbawienia wolności.

Obaj przyznali się do winy 22 czerwca 2026 r., w dniu, w którym miał rozpocząć się ich proces. Odpowiadali za nieuprawnioną ingerencję w system komputerowy, która spowodowała lub stworzyła ryzyko poważnych szkód dla ludzi. Było to jedno z pierwszych w Wielkiej Brytanii postępowań prowadzonych na podstawie najpoważniejszej części ustawy Computer Misuse Act.

Sędzia Mark Turner uznał, że mimo młodego wieku i stwierdzonych u sprawców cech neuroróżnorodności charakter przestępstwa nie pozwalał zastosować kary nieizolacyjnej.

„Pomimo waszego stosunkowo młodego wieku przestępstwo jest tak poważne, że nie mam innego wyjścia niż natychmiastowa kara pozbawienia wolności” – stwierdził sędzia Mark Turner.

Sąd zwrócił uwagę na wysoki poziom zaawansowania technicznego, przygotowanie ataku, jego kilkudniowy charakter oraz liczbę pracowników i pasażerów dotkniętych skutkami ingerencji. Działania sprawców były lekkomyślne, ale prokuratura nie dowiodła, że zamierzali oni całkowicie wyłączyć londyńską sieć transportową.

Cztery dni wewnątrz systemów TfL

Atak trwał od 31 sierpnia do 3 września 2024 r. Jubair i Flowers, działając wspólnie z innymi osobami, uzyskiwali dostęp do kolejnych poziomów infrastruktury informatycznej Transport for London, dalej TfL.

Wykorzystywali między innymi socjotechnikę oraz specjalistyczne oprogramowanie służące do wyszukiwania i wykorzystywania luk w zabezpieczeniach. Jednocześnie podejmowali działania mające utrudnić ustalenie ich tożsamości oraz odtworzenie przebiegu włamania.

Atakujący uzyskali najwyższe poziomy dostępu do części sieci. W przechwyconych rozmowach pojawiał się zamiar odcięcia administratorów od systemów, co mogło znacząco pogłębić zakłócenia w funkcjonowaniu londyńskiego transportu publicznego.

Ostatecznie TfL zdecydował o odłączeniu możliwości zdalnego logowania oraz części połączeń z internetem. Był to ruch obronny, który zatrzymał dalszą aktywność sprawców, ale jednocześnie wyłączył dużą część cyfrowej infrastruktury organizatora.

W. Brytania/ Dwóch hakerów skazanych za cyberatak na londyński transport publiczny / fot TfL
W. Brytania/ Dwóch hakerów skazanych za cyberatak na londyński transport publiczny / fot TfL

148 systemów przestało działać

W wyniku cyberataku 148 systemów informatycznych stało się niedostępnych. Część z nich miała znaczenie krytyczne dla codziennej pracy organizatora, dlatego pracownicy musieli korzystać z procedur zastępczych i ręcznie obsługiwać procesy realizowane wcześniej automatycznie.

Wszyscy pracownicy korzystający z infrastruktury informatycznej TfL, około 27 tys. osób, musieli stawić się osobiście w biurach w celu zmiany loginów i haseł. Nie wystarczyło zdalne wymuszenie nowych danych dostępowych, ponieważ organizator nie mógł zakładać, że jego systemy pozostają bezpieczne.

Odblokowywanie dostępu i przywracanie kolejnych funkcji trwało miesiącami. Skutki ataku były odczuwalne przez około pół roku, mimo że podstawowa sieć londyńskiego metra, autobusów i kolei miejskiej mogła nadal przewozić pasażerów.

Sąd podkreślił, że hakerzy nie doprowadzili do bezpośredniego zatrzymania pociągów, metra ani autobusów. Uderzyli jednak w systemy wspierające transport publiczny, obsługę podróżnych, sprzedaż i rozliczanie opłat.

Problemy z Oyster i transportem dla osób z niepełnosprawnościami

Sprawcy pobrali znaczną ilość danych z systemu kart Oyster. Prokuratura wskazała, że były to informacje dotyczące milionów użytkowników, w tym dane zgromadzone w systemie zwrotów opłat.

Zakłócenia objęły kanał obsługi refundacji. Część pasażerów musiała znacznie dłużej czekać na zwrot pieniędzy za przejazdy i nieprawidłowo naliczone opłaty.

Zamknięty został również system przyjmowania wniosków o specjalne karty Oyster dla dzieci i młodzieży. Utrudniało to uzyskanie dokumentów potwierdzających prawo do ulg i bezpłatnych przejazdów londyńską komunikacją miejską.

Cyberatak wpłynął także na usługę Dial-a-Ride, czyli transport na żądanie przeznaczony dla osób, które z powodu niepełnosprawności lub ograniczonej mobilności nie mogą korzystać z tradycyjnych autobusów, metra i kolei.

Opóźnione zostało ponadto rozszerzanie systemu płatności zbliżeniowych. Dla pasażerów oznaczało to, że skutki włamania wychodziły daleko poza wewnętrzne problemy informatyczne operatora.

29 mln GBP strat i kosztów odtworzenia

National Crime Agency, dalej NCA, podała, że łączne straty i koszty usuwania skutków zdarzenia wyniosły około 29.000.000 GBP.

W uzasadnieniu wyroku wskazano, że same działania naprawcze kosztowały około 25.000.000 GBP. Kwota ta nie obejmowała wydatków na dodatkowe zabezpieczenia, które miały zapobiegać podobnym atakom w przyszłości.

Prokuratura szacowała, że całkowite wyłączenie londyńskiej sieci transportu publicznego mogłoby spowodować straty dla brytyjskiej gospodarki sięgające nawet 56.000.000.000 GBP. Sędzia zaznaczył jednak, że była to wartość hipotetyczna, odnosząca się do scenariusza, który nie został zrealizowany i nie stanowił udowodnionego celu sprawców.

Znaczenie systemu wynika ze skali działania TfL. Organizator odpowiada średnio za około 9 mln podróży dziennie, obejmujących metro, autobusy, kolej miejską, tramwaje, transport wodny i usługi specjalistyczne.

Nagrywali przebieg cyberataku

Jednym z najważniejszych dowodów były nagrania wykonane przez Owena Flowersa. Na zabezpieczonym komputerze znaleziono filmy pokazujące, jak Thalha Jubair porusza się po systemach TfL.

Sprawcy kontaktowali się przez komunikator Telegram oraz narzędzie pozwalające wielu osobom jednocześnie pracować we wspólnym środowisku. Flowers transmitował też część działań niewielkiej grupie osób zainteresowanych cyberprzestępczością.

W jego domu zabezpieczono laptopy, komputery stacjonarne, dyski twarde i pamięci USB. Jeden z komputerów zawierał zrzut ekranu potwierdzający połączenie z infrastrukturą londyńskiego organizatora transportu.

Sędzia uznał, że główną motywacją sprawców była brawura i chęć wykazania się umiejętnościami przed innymi osobami. Jednocześnie obaj mieli dostateczną wiedzę, aby rozumieć ryzyko oraz skalę możliwych skutków dla pasażerów i gospodarki.

Andy Lord, komisarz transportu Londynu, podziękował pracownikom organizatora oraz służbom prowadzącym śledztwo. Zapewnił, że systemy i dostęp do danych pasażerów są stale monitorowane.

„Bezpieczeństwo naszych systemów i danych klientów jest dla nas niezwykle ważne” – podkreślił Andy Lord.

Komentarze