Reizigers lopen over een perron van de Londense metro
Nieuws23 juni · 18:215 min leestijd

Scattered Spider-leden bekennen TfL-hack: twee tieners legden Londens vervoer plat met een telefoontje

Twee jonge leden van Scattered Spider bekenden de hack op Transport for London uit 2024. Geen geavanceerde exploit, maar social engineering en gestolen inloggegevens. Een ongemakkelijke les over waar jouw echte kwetsbaarheid zit.

Twee jonge leden van de beruchte hackersgroep Scattered Spider hebben bekend dat zij in 2024 het Londense openbaar vervoer platlegden. Geen geavanceerde zero-day, geen onkraakbare malware: twee tieners brachten een van de grootste vervoersorganisaties van Europa in de problemen met manipulatie en gestolen inloggegevens. Dat zou elke bestuurder aan het denken moeten zetten, ook hier.

Wie bekende wat

Thalha Jubair (20) uit Londen en Owen Flowers (18) uit Walsall bekenden schuld voor de aanval op Transport for London (TfL) tussen eind augustus en begin september 2024. Beiden pleitten aanvankelijk onschuldig, maar wijzigden hun pleidooi op de eerste zittingsdag bij Woolwich Crown Court. De aanklacht is zwaar: samenspanning tot onbevoegde computerhandelingen met risico op ernstige schade, een feit waar in het Verenigd Koninkrijk levenslang op staat. De uitspraak volgt op 16 juli.

De aanval raakte het Oyster-terugbetalingssysteem, legde klantendiensten plat en leidde tot diefstal van klantgegevens. De teller van ongeveer 29 miljoen pond aan verlies en herstelkosten maakt duidelijk hoe duur zo'n inbraak wordt. Tekenend voor de aard ervan: alle 28.000 TfL-medewerkers moesten fysiek naar kantoor komen om hun wachtwoord opnieuw in te stellen, omdat op afstand niemand nog een identiteit met zekerheid kon vaststellen.

Geen technisch hoogstandje, maar manipulatie

Scattered Spider staat niet bekend om verfijnde exploits, maar om het manipuleren van mensen. De groep belt zich via social engineering naar binnen, vaak door zich voor te doen als een medewerker en zo bij een servicedesk een wachtwoordreset of het opnieuw instellen van multifactor-authenticatie af te dwingen. Dezelfde aanpak legde eerder de Amerikaanse casino's MGM en Caesars plat. Dat TfL uiteindelijk tienduizenden wachtwoorden handmatig en in persoon moest resetten, laat precies zien waar het misging: bij de identiteitsverificatie, niet bij een firewall.

Jubair kreeg een extra aanklacht omdat hij weigerde de wachtwoorden van zijn in beslag genomen apparaten af te geven. Flowers werd daarnaast in verband gebracht met inbraken bij de Amerikaanse zorgorganisaties SSM Health en Sutter Health en overtrad tweemaal zijn borgtochtvoorwaarden. Paul Foster van de National Crime Agency noemde het een aanval die miljoenen ponden schade toebracht aan een cruciaal onderdeel van de Britse vitale infrastructuur.

Wat dit betekent voor jouw bedrijf

De les is ongemakkelijk: je grootste kwetsbaarheid zit zelden in je software, maar in de mens die onder druk een uitzondering maakt. Een helpdeskmedewerker die snel even een wachtwoord reset voor een 'collega' aan de telefoon is precies het gaatje dat deze groep zoekt. Elke organisatie met een interne of uitbestede servicedesk is daarmee een doelwit, ongeacht omvang.

De verdediging is bewust saai: strikte identiteitsverificatie voordat iemand een wachtwoord of MFA reset, een tweede factor die niet telefonisch te omzeilen is, en heldere afspraken over wie wat mag autoriseren. Hoe je dat soort controles concreet inricht, staat in de vijf basislagen cybersecurity die je zelf kunt nalopen: geen dure tooling, maar procedures en discipline. Twee tieners hadden genoeg aan een telefoon en een overtuigend verhaal. Jouw tegenmaatregel hoeft niet ingewikkelder te zijn dan consequent 'nee, eerst verifiëren' durven zeggen, juist als het ongelegen komt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Veilige processen, niet alleen tools

Ik help bedrijven hun software en processen zo in te richten dat een telefoontje naar de helpdesk geen achterdeur wordt: van meedenken over identiteitsverificatie tot het bouwen en automatiseren van veilige, waar mogelijk self-hosted workflows.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Self-hosted is geen garantie voor veilig, het is een verantwoordelijkheid
Inzicht
6 min

10 jul 21:01

Self-hosted is geen garantie voor veilig, het is een verantwoordelijkheid

Nextcloud, het soevereine Microsoft 365-alternatief, lekte 367.000 records via een open database. Niet de software faalde, maar de configuratie eromheen. Zelf hosten verschuift de verantwoordelijkheid naar jou.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

Politie vermoedt Nederlandse daders achter Odido-hack
Nieuws
3 min

9 jul 10:14

Politie vermoedt Nederlandse daders achter Odido-hack

De politie ziet sterke aanwijzingen dat Nederlandse criminelen achter de Odido-hack zitten, op basis van een opgenomen telefoongesprek. De inbraak begon niet met een technisch lek, maar met een oplichter aan de telefoon.

AP telt 39.407 datalekmeldingen, account takeovers bijna verdrievoudigd
Nieuws
4 min

8 jul 18:10

AP telt 39.407 datalekmeldingen, account takeovers bijna verdrievoudigd

De privacytoezichthouder kreeg in 2025 ruim 39.000 datalekmeldingen en waarschuwt voor een sterke stijging van account takeovers via phishing. AI maakt die aanvallen makkelijker, precies waar de meldplicht en je beveiliging nu op de proef worden gesteld.

Accenture bevestigt datalek nadat hacker bedrijfsdata te koop zet
Nieuws
4 min

8 jul 02:08

Accenture bevestigt datalek nadat hacker bedrijfsdata te koop zet

Accenture bevestigt een datalek nadat een crimineel 35GB aan interne gegevens te koop zet, waaronder broncode en cloudsleutels. Voor elk bedrijf dat met de IT-reus werkt, is dat een concreet leveranciersrisico.

Aanvallers misbruiken kritiek lek in Gitea's Docker-image via één HTTP-header
Nieuws
4 min

10 jul 22:38

Aanvallers misbruiken kritiek lek in Gitea's Docker-image via één HTTP-header

Aanvallers misbruiken een kritiek lek in de officiële Docker-image van Gitea: met één HTTP-header doen ze zich voor als elke gebruiker, tot en met de beheerder. Wie zijn eigen Git-server self-host, moet nu updaten.