In Groot-Brittannië zijn twee mannen veroordeeld tot gevangenisstraffen van 8 en 12 maanden voor hun rol bij de diefstal van klantgegevens van provider TalkTalk. Eén van de mannen bekende dat hij via SQL-injection toegang tot de database van TalkTalk had gekregen en zo data van 156.000 klanten kon stelen.

Vervolgens verspreidde hij de klantgegevens via een spreadsheet. Deze man kreeg de celstraf van 12 maanden opgelegd. De andere man bekende dat hij een computerbestand beschikbaar had gemaakt bedoeld voor het plegen van een misdrijf onder de Computermisbruikwetgeving. De Metropolitan Police spreekt over een "computerbestand om hacking mogelijk te maken". Het gaat dan om details over kwetsbaarheden bij TalkTalk waardoor anderen op de database van de provider konden inbreken.

Beide mannen waren op het moment van de aanval op TalkTalk nog minderjarig. De man die 12 maanden cel tegen zich hoorde eisen werd in oktober 2015 opgepakt. Bij zijn aanhouding werden computers en andere apparaten in beslag genomen, maar die bleken gewist en versleuteld te zijn. Onderzoek naar communicatie van de man leidde naar bewijs waaruit zijn betrokkenheid bij de aanval bleek, alsmede maatregelen die hij had genomen om bewijs te verbergen en te vernietigen.

Ook bleek dat hij de andere man opdracht had gegeven om de data voor financieel gewin te verkopen. De tweede man gaf zichzelf in 2016 bij de politie aan. Hij bekende dat hij had geprobeerd om de gestolen gegevens van TalkTalk-klanten en informatie over kwetsbaarheden bij de provider te verkopen.

Boete voor slechte beveiliging

De Britse privacytoezichthouder ICO legde TalkTalk wegens het datalek een boete van 440.000 euro op. Uit onderzoek van de autoriteit bleek dat de aanval voorkomen had kunnen worden als TalkTalk basale maatregelen had genomen om de klantgegevens te beschermen. Zo had de provider de eigen infrastructuur niet voldoende gecontroleerd en wist het niet eens dat de kwetsbare pagina's bestonden waardoor de aanvallers konden toeslaan.

TalkTalk had databasesoftware geïnstalleerd die niet langer meer door de aanbieder werd ondersteund. De aanvallers wisten uiteindelijk via SQL-injection toegang tot de gegevens in de database te krijgen. SQL-injection is een probleem dat volgens de ICO al geruime tijd bekend is en waar maatregelen tegen genomen kunnen worden. Iets dat TalkTalk ook had moeten doen, aldus de autoriteit. Ook een eerdere aanval had het bedrijf niet opgemerkt. Door het niet treffen van basale beveiligingsmaatregelen had de provider dan ook de Britse databeschermingswetgeving overtreden, aldus de ICO.