ロンドン交通局は、2024年の侵害により700万人以上のデータが露出したことを確認しました。これは、当初、詳細情報がリスクにさらされる可能性があると警告された数千人の顧客よりもはるかに多い数です。
BBCは金曜日に報道し、2024年のTfLシステムへの侵入により、攻撃者が首都の交通ネットワークと相互作用した最大1000万人の顧客をカバーするデータベースにアクセスできた可能性があると述べました。
The Registerから質問を受けたTfLは、BBCの報道に異議を唱えませんでしたが、影響を受けた数がやや少ない可能性があると示唆しました。700万人以上の顧客に事件について通知するメールを送信したことを確認しましたが、開封率は58%だったと述べました。これは、何百万人もの顧客が実際にインボックスで警告を見たことを示唆しています。TfLは、重複レコードを考慮した後、取得されたと考えられるデータに基づいてメールアドレスを持っていた顧客がこれらの人物であると述べました。
この数字は、TfLが当初提示した5,000とは大きく異なるものですが、交通ネットワークはThe Registerに対し、これらの顧客がおそらく銀行口座データへのアクセスが得られた可能性があるという事実のために優先度の高い連絡先として連絡されたことを確認しました。
「事件当時、我々は約5,000人の顧客がサポートを必要としていることを特定しました。その理由は、一部の顧客のオイスターカード払い戻しデータにもアクセスされた可能性があり、銀行口座番号とソートコードが含まれている可能性があったためです。」TfLのスポークスパーソンはThe Registerに述べました。「予防措置として、我々はそれらの顧客に直接連絡し、できるだけ早くサポートを提供し、彼らが取ることができるステップを提供しました。」
「さらに、顧客の名前と連絡先情報が取得されている可能性があることを公開しました。これにはメールアドレスと、提供されている場合は住所が含まれます。我々は本事件全体を通じて顧客に情報を提供し続け、必要なすべての対策を講じ続けます」とスポークスパーソンは付け加えました。
TfLは2024年9月に確認しハッカーが内部システムへの不正なアクセスを得たことを発表し、交通当局は被害の封じ込めに奔走することを余儀なくされました。コアサービスは稼働し続けましたが、組織のデジタルシステムの一部はエンジニアがアカウントを保護しサービスを復旧する間、オフラインになりました。
オンライン顧客ポータルが中断され、ログインが不安定になり、TfLデータフィードに依存する一部のサードパーティアプリは、クリーンアップ操作が進行中の間、一時的にアクセスを失いました。
その後、警察は本侵入に関連して2人の十代の若者を起訴しました。当局はこの攻撃をScattered Spiderとして知られるサイバー犯罪集団と関連付けており、これは英語を話す一団で、ソーシャルエンジニアリング、SIMスワップ、およびその他の確かに派手ではない戦術を使用して大企業の侵害で評判を築いてきました。
新たに確認された700万人という数字は、攻撃者が確実にこれらすべての人のデータを取得したことを意味するわけではありません。これは、彼らがアクセスしたシステムに存在するデータセットのサイズであり、弁護士と規制当局が焦点を当てる傾向がある種のニュアンスです。
規制当局について言えば、情報専門官事務所は侵害を調査しましたが、最終的にTfLに対して強制措置を講じないことを決定し、当局の対応が相当であると結論付けました。プライバシーウォッチドッグはThe Registerの本日の質問に対応しませんでした。
毎日ロンドン中を何百万人もの人々を動かす組織の場合、乗客データの杭が同じくらい大きい可能性があることは驚くべきことではないかもしれません。攻撃者が間違ったシステムに侵入すると、そこに座っているレコードの数は急速にセントラルラインのラッシュアワーに似ているように見え始めることができます。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/06/tfl_2024_breach_numbers/
