Dois adolescentes britânicos, de 18 e 19 anos, declararam-se inocentes no Tribunal da Coroa de Southwark, em Londres, em conexão com um ataque cibernético à Transport for London (TfL) no ano passado. Os acusados, Owen Flowers (18), dos West Midlands, e Thalha Jubair (19), do leste de Londres, enfrentam acusações sob a Lei de Uso Indevido de Computadores por conspirar para cometer atos não autorizados contra os sistemas computacionais da TfL. Promotores alegam que o ataque ocorreu em agosto de 2024 e teve como alvo a infraestrutura digital da organização, incluindo sistemas que suportam as redes de metrô e ônibus de Londres. A TfL já havia relatado anteriormente que o incidente resultou em acesso a dados pessoais e perdas financeiras.
Flowers também é acusado de outros crimes relacionados a tentativas de invasão de sistemas de computador pertencentes a duas empresas de saúde dos EUA: Sutter Health (Califórnia) e SSM Health Care Corporation (Missouri). Ele negou todas as acusações. Jebair também negou as acusações ao comparecer ao tribunal na sexta-feira. O julgamento está programado para começar em junho de 2026, com uma audiência preliminar marcada para fevereiro do próximo ano.
Investigadores afirmam que o ataque foi sofisticado e parte de uma tendência que liga jovens hackers baseados no Reino Unido a redes criminosas mais amplas. As autoridades nomearam o grupo Aranha Dispersa em reportagens anteriores como suspeito de operador de múltiplas campanhas de invasão. A Agência Nacional do Crime (NCA) descreveu a investigação como longa e complexa, abrangendo meses de trabalho forense e cooperação transfronteiriça.
A TfL afirmou que, embora suas operações de transporte não tenham sido diretamente interrompidas, os dados de clientes e funcionários foram acessados. Estimou perdas de dezenas de milhões de libras e afirmou ter incorrido em custos significativos com investigação, remediação e trabalhos jurídicos. A exposição de dados do histórico de viagens ou contatos pode aumentar riscos para a privacidade e pode levar a tentativas de phishing ou roubo de identidade se as informações forem mal utilizadas.
Analistas jurídicos dizem que as acusações marcam um dos casos mais marcantes de envolvimento de jovens em uma intrusão de alto impacto que afeta a infraestrutura nacional. Eles observaram que o caso pode testar como as leis britânicas de cibercrime se aplicam a menores e a ataques envolvendo redes criminosas complexas. A recuperação das perdas e a responsabilidade dependerão de como o caso avançar no julgamento e se as provas provam que o acusado agiu como parte da campanha mais ampla.
Para os usuários comuns de serviços como a TfL, o caso serve como um lembrete dos perigos dos sistemas digitais quando alvo de crimes cibernéticos organizados. Sistemas de transporte dependem de redes interconectadas e fornecedores terceirizados, que podem oferecer caminhos para intrusões. Especialistas em segurança enfatizam que as organizações devem fortalecer a segmentação de sistemas, monitorar comportamentos anormais de login e alertar os usuários rapidamente quando dados possam ter sido expostos.
Dada a natureza contínua do caso, a TfL e seus parceiros continuam a pedir vigilância entre os clientes. Passageiros que recebem comunicações não solicitadas referindo viagens ou dados de contato devem tratá-los com desconfiança. O resultado dos processos judiciais será acompanhado de perto por especialistas em crimes cibernéticos, partes interessadas da indústria de transporte e órgãos reguladores interessados em como ataques digitais disruptivos podem alcançar serviços públicos críticos.