Owen Bloemen18, en Thalha Jubair20, werden op donderdag 16 juli 2026 door de Woolwich Crown Court elk veroordeeld tot vijf en een half jaar wegens de hack van Transport for London in 2024.
Door de aanval raakten 148 TfL-systemen onbruikbaar en werden alle 27.000 medewerkers van de transportautoriteit gedwongen een kantoor binnen te gaan om hun wachtwoorden persoonlijk te laten resetten. Zowel de NCA als de CPS schatten de verliezen en herstelkosten van TfL op £ 29 miljoen.
Beiden pleitten schuldig op 22 juni 2026, de dag dat hun proces zou beginnen. De aanklacht was sectie 3ZA van de Computer Misuse Act 1990, de ernstigste van de wet, en ze gaven dit toe op grond van hun roekeloos gedrag bij de vraag of ze een aanzienlijk risico op ernstige schade aan het menselijk welzijn veroorzaakten of creëerden.
Volgens de CPS zijn Flowers en Jubair de eerste hackers die met succes zijn vervolgd op grond van Sectie 3ZA. De NCA beschouwt de zaak als slechts de tweede vervolging in zijn soort. De twee lezingen kunnen samengaan, waarbij de ene de vervolgingen meetelt die onder de sectie vallen en de andere de vervolgingen meetelt die in een veroordeling zijn geëindigd, maar geen van beide instanties verklaart de kloof.
De NCA noemt het de grootste vervolging op het gebied van cybercriminaliteit die de Britse rechtbanken ooit hebben gezien.
De inbraak liep van 31 augustus tot en met 3 september 2024. TfL houdt toezicht op gemiddeld 9 miljoen ritten per dag. Dial-a-Ride, de boekingsdienst die kwetsbare Londenaren door de stad vervoert, ging failliet, samen met het digitale betaalkanaal en de uitgifte van goedkope reiskaarten.
De aanmeldingen voor Oyster Photocards, de kortingskaarten voor Londense kinderen en jongeren, zijn gesloten. De uitbreiding van contactloze ticketverkoop verdween en de terugbetalingen kropen omhoog.
TfL vertelde klanten dat er toegang was verkregen tot namen en e-mailadressen, samen met de thuisadressen waar deze zich bevonden. Mogelijk zijn ook de gegevens over de terugbetaling van oesters verdwenen, waaronder bankrekeningnummers en sorteercodes van ongeveer 5.000 mensen.
Alleen zij twee wisten wat ze met de toegang wilden doen, zegt de CPS, hoewel hun chats suggereerden dat ze de toegang zouden wissen als ze naar buiten gingen. Dat is waar het grootste aantal van deze zaak vandaan komt: de NCA zegt dat een succesvolle sluiting van het netwerk de Britse economie tot £56 miljard had kunnen kosten, en de CPS gaat uit van dezelfde hypothese op miljarden. Het bleef hypothetisch, zegt de CPS, omdat TfL zijn eigen netwerk neerhaalde om ze in bedwang te houden.
Flowers werd op 6 september 2024 thuis gearresteerd, drie dagen nadat de TfL-inbraak was geëindigd, en de NCA zegt dat agenten hem midden in een aanval op twee Amerikaanse gezondheidszorgorganisaties, SSM Health Care Corporation en Sutter Health, hebben aangetroffen.
Rechercheurs hebben laptops, torencomputers, harde schijven en USB-sticks in beslag genomen. Op één laptop stond een screenshot van de netwerkconnectiviteit met de TfL-infrastructuur, plus video’s die Flowers had opgenomen van Jubair die zich tijdens de aanval door TfL-systemen bewoog. Het paar was aan het chatten op Telegram terwijl het gebeurde en deelden een online werkruimte.
Aanklagers bewezen dat Flowers verbonden was met de externe server die werd gebruikt om alle drie de inbraken te lanceren, en dat zijn eigen apparaten hem met alle drie in verband brachten. De informatie die Jubair met TfL in verband bracht, werd in het buitenland ontdekt en verkregen met hulp van openbare aanklagers daar.
Flowers gaf nog twee aanklachten toe over de aanvallen op de gezondheidszorg, een samenzwering tegen SSM Health en een poging tegen Sutter Health. De CPS zegt dat hij heeft gedreigd deze systemen af te sluiten, terwijl hij in chats erkent dat dit “zou kunnen leiden tot de dood van ongeveer 90-jarigen die beademd worden.” Het is de arrestatie die hem tegenhield.
De NCA beschrijft beide mannen als leidende leden van Scattered Spider, de afpersingsploeg wordt ook gevolgd als Octo Tempest, UNC3944 en 0ktapus. De CPS is voorzichtiger en zegt dat de beklaagden op verschillende punten beweerden lid te zijn van een groep waarvan de aanklagers denken dat ze tussen 2022 en 2025 honderden aanslagen hebben gepleegd.
De FBI, geciteerd in de aankondiging van de NCA, brengt de groep in verband met gegevensafpersing, SIM-swapping en social engineering.
De andere zaak van Jubair is nog open
Een klacht die in september 2025 in New Jersey werd onthuld, beschuldigt Jubair van computerfraude, telegrafische fraude en samenzweringen voor het witwassen van geld. Volgens de klacht heeft het plan tussen mei 2022 en september 2025 ongeveer 120 netwerkinbraken en minstens 47 Amerikaanse slachtoffers veroorzaakt, waarbij ruim 115 miljoen dollar aan losgeld is betaald.
Aanklagers plaatsen hem ook bij inbraken bij een Amerikaans bedrijf voor kritieke infrastructuur en de Amerikaanse rechtbanken, en beweren dat hij ongeveer $8,4 miljoen aan cryptocurrency uit een serverportefeuille heeft gehaald terwijl agenten deze in beslag namen. Dat zijn beschuldigingen die niet door de rechtbank zijn getoetst. Het maximum over alle tellingen heen bedraagt 95 jaar. Noch de aankondiging van het DOJ, noch de Britse releases van donderdag gaan over uitlevering.
Is Verspreide Spin klaar?
De NCA zegt dat haar actie tegen de twee mannen de groep effectief heeft stopgezet, en haalt de inschatting van Microsoft aan dat de arrestaties het vermogen van de groep om te opereren materieel hebben aangetast. In één adem zorgt het ervoor dat andere criminelen het merk kunnen blijven gebruiken.
Scattered Spider is niet het enige merk waar nog leven in zit. In januari volgde Mandiant een uitbreiding van de afpersing onder het merk ShinyHunters met dezelfde soort social engineering: oproepen naar werknemers, pagina’s voor het verzamelen van inloggegevens van het slachtoffer om SSO-aanmeldingen en MFA-codes vast te leggen, en vervolgens het eigen apparaat van de aanvaller ingeschreven voor MFA.
Noch in de schriftelijke publicaties van de NCA, noch in de CPS wordt uiteengezet hoe Flowers en Jubair voor het eerst bij TfL terechtkwamen. De strengere richtlijnen van Google uit hetzelfde onderzoek brengen de oplossing op één plek: identiteit verifiëren bij het opnieuw instellen van wachtwoorden, apparaatinschrijving en MFA-wijzigingen, de handmatige workflows die deze teams inroepen en zich een weg banen.
Paul Foster, hoofd van de National Cyber Crime Unit van de NCA, wil één ding van alle anderen: de politie vroegtijdig bellen. Hij zegt dat deze veroordelingen waarschijnlijk niet zouden zijn gebeurd als TfL dat niet had gedaan.
De politie van City of London gebruikte de veroordeling om te lobbyen voor een macht die zij niet heeft. Cyber Crime Risk Orders zouden een rechtbank de mogelijkheid bieden de apparaten, onlinediensten en technologieën van een individu te beperken in verhouding tot het risico dat ze met zich meebrengen.
Commandant Ollie Shaw noemde ze een ‘digitale gevangenis’ voor overtreders. De toolkit is dus wat het was: een gevangenisstraf, deze keer uitgedeeld aan twee mensen die 17 en 18 waren toen ze het deden.