2024年8月31日下午5时,伦敦交通局的系统遭遇了一次毁灭性的网络入侵。发动攻击的并非某个国家级黑客组织,而是两名来自英国的青少年——17岁的欧文·弗劳尔斯和18岁的塔尔哈·朱拜尔。整整16个小时,他们在卧室里直播攻击过程,向全世界炫耀自己“正在伦敦地铁上织网”。
2026年7月16日,英国伍尔维奇刑事法院判处两人各5年6个月监禁。这场攻击造成约700万至1000万名乘客的个人数据泄露,被BBC称为“英国历史上最大规模的数据泄露事件之一”。而整件事的起点,不过是一通电话。
一通电话,拿下“王国之钥”
两人并未使用任何复杂的技术漏洞。他们的方法简单得令人后怕——社会工程学攻击。弗劳尔斯和朱拜尔冒充伦敦交通局员工,给一名电话技术支持人员打电话,说服对方为被冒充的员工重置密码。密码到手后,两人长驱直入,在2024年8月31日至9月3日期间获得了伦敦交通局内部系统的完全管理权限。
检方称,两人一度“掌握了整个王国的钥匙”。如果他们选择关闭交通网络,英国经济可能面临高达560亿英镑的“灾难性损失”。
四个数字,看懂这场灾难的规模
700万至1000万:被泄露的乘客个人数据总量,包括姓名、联系方式、住址、银行账户及分类代码。遭窃数据库至今仍在犯罪团体之间传播。
27,000:伦敦交通局全部员工必须到现场重置密码的人数。
148:被攻击瘫痪的技术系统数量,其中部分属于关键系统。
2,900万英镑:伦敦交通局因攻击遭受的直接经济损失,另有约1,000万英镑收入损失。
攻击导致伦敦交通局在线服务连续数月无法正常运行。Dial-a-Ride预约用车服务——专为残疾人和弱势居民提供的交通服务——严重受阻。牡蛎卡申请系统关闭,儿童和年轻人的出行卡办理中断。部分乘客因退款系统瘫痪长时间无法拿回款项。
早已被盯上的“卧室黑客”
弗劳尔斯和朱拜尔是跨国黑客组织Scattered Spider的核心成员。这个松散组织的攻击目标包括玛莎百货、Co-op、捷豹路虎、哈罗德等知名企业。
两人的犯罪记录远早于伦敦交通局攻击。2023年10月,刚满16岁的弗劳尔斯就因轻微网络犯罪被警方发出“停止令”。但由于他不愿与警方合作,也拒绝参加引导青少年远离网络犯罪的辅导项目,当局未能有效阻止他继续滑向更严重的犯罪。
朱拜尔的犯罪史更长。13岁起便涉足黑客活动,曾因入侵和敲诈芯片制造商英伟达而被定罪。美国检方指控他参与了至少120次攻击。据估计,他经手的加密货币勒索金额高达2亿英镑。
讽刺的是,最终让联邦调查局追踪到朱拜尔的,是一笔外卖订单——他用存有2,700万英镑赃款的加密货币钱包购买了食品配送服务礼品卡。
被捕之后,仍未收手
2024年9月,英国国家打击犯罪局逮捕弗劳尔斯时,发现他正在同时入侵两家美国医疗服务机构——SSM Health和Sutter Health。聊天记录显示,他甚至拿“攻击可能害死一名依靠生命支持设备维生的90岁老人”开玩笑。被捕时,弗劳尔斯仍在发笑。
更令人震惊的是,弗劳尔斯在还押候审期间,用走私入狱的手机继续试图入侵皇家检察署、司法部、多个政府域名,甚至他本人所在的监狱系统。警方从他手中查获了价值约100万英镑的加密货币。
判决背后:警示与反思
量刑时,特纳大法官表示两人的行为“出于自私的虚张声势,完全罔顾对他人的严重后果”。但同时考虑到两人犯罪时年龄较小且均被诊断为自闭症,将其作为减轻刑罚的因素。
英国国家打击犯罪局称,此案是“英国有史以来最大规模的网络犯罪刑事起诉”。该局副局长保罗·福斯特表示,越来越多英国年轻人参与黑客活动,已成为国家网络安全面临的最大威胁之一。他呼吁赋予执法部门更强的法律权力——如拟议中的“网络犯罪风险令”——以便在高风险罪犯实施更严重的攻击之前提前干预。
两名“卧室黑客”用一通电话撬动了数百万人的数据、数千万英镑的损失,以及五年半的铁窗生涯。而那个被窃取的数据库,至今仍在暗网中流转。

