Il s’agit de l’une des plus grandes violations de données de l’histoire britannique. La BBC révélé que la cyberattaque subie par Transport for London (TfL), à savoir les transports publics de Londres, qui a eu lieu en août-septembre 2024, a compromis les données personnelles d'environ 10 millions de personnes, bien plus que ce que l'opérateur londonien avait alors admis, soit 5 000.
Un gros hack sur les transports londoniens
La BBC a pu faire cette estimation après qu'une source de la communauté des hackers lui ait fourni une copie complète de la base de données volée. Le correspondant cybersécurité de la chaîne, Joe Tidy, a retrouvé ses propres données parmi les entrées. La base de données contient des noms, des adresses e-mail, des numéros de téléphone fixe et mobile et des adresses postales, répartis sur 15 colonnes de données et des millions de lignes (avec doublons).
TfL n'a pas contesté le chiffre de la BBC, mais a indiqué avoir envoyé des notifications à 7 113 429 clients dont le groupe détenait les adresses e-mail, avec un taux d'ouverture de 58 %. L'organisation reconnaît également avoir identifié environ 5 000 clients dont les données d'échange de carte Oyster auraient pu être consultées, notamment les numéros de compte bancaire et les codes de tri. Autant dire qu’entre 5 000 et 10 millions, il y a une grosse différence.
Deux adolescents britanniques responsables
L'attaque est attribuée au groupe Scattered Spider, un collectif anglophone spécialisé dans l'ingénierie sociale et l'échange de cartes SIM. Le piratage n’a pas directement perturbé les transports, mais a mis hors ligne plusieurs services numériques et affichages d’informations de TfL. Les cartes Oyster ne pouvaient temporairement plus être rechargées ni associées aux comptes utilisateurs. Le coût total de l'incident est estimé à 39 millions de livres sterling (45 millions d'euros).
Deux adolescents britanniques ont été impliqués. Leur procès devrait débuter en juin. L'Information Commissioner's Office (ICO), le régulateur britannique de la protection des données, a conclu son enquête sans prendre de mesures concrètes à l'encontre de TfL, estimant que la réponse de l'organisation était proportionnée.
