La compañía declaró que solo 'algunos' clientes se vieron afectados en ese momento, pero la BBC descubrió que millones de personas sufrieron el robo de datos en uno de los mayores ciberataques de la historia británica.
El ciberataque, perpetrado por hackers del grupo criminal Scattered Spider, vulneró los sistemas informáticos internos de TfL, interrumpiendo sus servicios en línea y causado daños por valor de 39 millones de libras.
El ataque, ocurrido entre agosto y septiembre de 2024, no afectó directamente al transporte londinense, pero provocó la interrupción de muchos servicios en línea y paneles informativos de TfL. El juicio contra dos adolescentes británicos acusados de perpetrar el hackeo comenzará este verano.
Un miembro de la comunidad de hackers que obtuvo una copia de la base de datos completa de TfL contactó con la BBC, revelando nombres, direcciones de correo electrónico, números de teléfono fijo, números de teléfono móvil y direcciones físicas de aproximadamente 10 millones de personas.
Los datos, que fueron eliminados por la BBC tras su revisión, contienen millones de líneas de nombres e información personal.
En total, contienen casi 15 millones de líneas de datos, pero se cree que algunas de ellas son duplicadas.
TfL declaró haber llevado a cabo una investigación exhaustiva sobre el hackeo y admitió haber enviado correos electrónicos a más de siete millones de clientes con una dirección de correo electrónico registrada en su cuenta de TfL para notificarles lo sucedido.
Sin embargo, los correos electrónicos solo tuvieron una tasa de apertura del 58 por ciento, lo que indica que millones de personas afectadas no leyeron la notificación o no tenían una dirección de correo electrónico activa registrada para ver la advertencia.
El riesgo para las personas sigue siendo bajo, pero las víctimas de filtraciones de datos tienen una mayor probabilidad de ser víctimas de estafas y ataques fraudulentos.
Las empresas víctimas de ciberataques en el Reino Unido no están legalmente obligadas a revelar el número de usuarios afectados por las filtraciones, pero los expertos en protección de datos y seguridad afirman que no revelar estos datos contribuyen poco a la lucha contra la ciberdelincuencia.
El consultor de protección de datos Carl Gotleib afirmó:
'Tras una filtración, es fundamental que las personas estén informadas exactamente de lo que ha sucedido con sus datos y del riesgo potencial para su privacidad'.
