2016年11月,诶德承认了与TalkTalk遭遇的黑客攻击事件有关的7项黑客犯罪,他的手机、笔记本电脑、硬盘和USB都被没收了。他的辩护律师克里斯·布朗请求缓刑,声称这名少年“创造了很多线上身份,仅仅是想要证明他作为黑客的实力。他只是在玩游戏,游戏的乐趣在于竞技,而不是毁坏了多少网站、造成了多少损失”。
埃德承认了自己的行为是违法的,“当时我没有考虑后果”。2016年12月,他收到了长达12个月的社会服务令。
2017年4月,在伦敦老贝利中央刑事法院,汉利和奥尔索普承认了与2015年10月黑客袭击有关的指控。汉利还向“另一个人”(未公开)提供了数据。凯利也承认了滥用电脑、敲诈和欺诈的指控,他犯下这些罪行时,还处于一次DDOS攻击的保释期。
TalkTalk最终宣布网络攻击的总损失为4200万英镑,但他们并没有公布客服中心泄露数据所造成的损失。
收集电话
2016年1月,印度警方逮捕了3名威普罗公司的雇员,并指控他们偷窃了TalkTalk的客户数据,并用于诈骗。TalkTalk在随后的媒体声明中表示,“我们很开心看到调查有了收获,我们也开始重新审视与威普罗公司的合作关系”。
但TalkTalk尚未完全脱离黑客攻击的阴影。2016年2月,BBC的《钱箱》(Moneybox)节目采访了两名电话工程师,他们表示,接下来的几天会有声称自己是英国电信Openreach(负责维护基础设施的公司)或是TalkTalk的人给他们打电话。不出所料,电话来了,来电者报出了两位工程师的账户号码、家庭地址,甚至准确的名字。
这两位工程师称这个电话就是TalkTalk泄露客户数据的证明,并以此向TalkTalk索求补偿。TalkTalk拒绝了他们的要求,并坚称没有泄露客户数据,还暗示这是工程师合作的第三方公司造成的。TalkTalk的回复似乎不尽如人意,尽管严格意义上说,这并不是TalkTalk内部员工实施的骗局。但这也不是客户的过错,他们已努力核实来电者的身份,而TalkTalk确实没有尽职地调查外包公司。TalkTalk的确有给客户一些赔偿,但是由于损失过于庞大,TalkTalk不愿承担全部责任。
2016年夏天,TalkTalk决定中止与威普罗公司的合作,并收回了印度的客服外包服务,选择与菲律宾、南非和英国等客服外包服务商合作,但具体措施要到2017年夏天才能落实。
在具体措施尚未落实前,问题并没有消失。2017年3月,《卫报》报道了简·哈顿的案例,她是TalkTalk的客户,曾于1月收到了一台新的路由器,两周后,一位印度口音的人给她打了电话,来电者知道她的合同升级细节、路由器序列号和密码。来电者尝试了诈骗,但失败了,因为哈顿的银行阻止了付款。作为报复,对方锁定了她的电脑,并要求支付赎金,最终哈顿选择断开电脑的网络连接并将其格式化。还有很多这样的案例,均表明TalkTalk的数据泄露情况并没有停止。
2016年1月格雷厄姆向国会议员表示,英国资讯委员会仍在调查2014年的事件。“这一切何时结束?”主席杰西·诺曼问道。格雷厄姆拒绝给出确切的答案,他表示,事件的跨国性质给调查带来了诸多阻碍,他手下的30余名调查人员同时处理着25~30起案件。
2017年8月,发出警告的3年后,英国资讯委员会公布了2014年9月数据泄露事件的调查报告,并对TalkTalk以“没有保护好客户数据,导致数据落入骗子之手”为由,处以10万英镑的罚款。值得一提的是,调查显示有3个威普罗公司的账号访问了多达21000名客户的数据,而有40名威普罗公司的员工可以查看25000~50000名客户的数据。这些员工可以通过任何设备登录门户网站,并不需要威普罗公司的授权,即可访问那些信息。一旦进入了系统,员工能够搜索通配符,例如输入“A*”,就能导出所有姓氏以A开头的客户的信息,一次性可以查看500条记录。
“TalkTalk本有足够的时间去采取合适的措施,但是他们没有做。”英国资讯委员会在罚款声明中写道,“TalkTalk门户网站在2002年就开始启用,而这个漏洞可能也存在了这么长的时间。”
令人难以置信的是,英国资讯委员会表示他们无法找到直接的证据,证明受害者的损失与诈骗电话之间存在联系。这也暗示了数据泄露与诈骗同时出现可能纯属偶然,但根据人们的经验来看,这是不太可能的。这更像是英国资讯委员会的一个让步,如果有受害者起诉TalkTalk,他们将不会出庭作证。TalkTalk坚持认为,他们对受害者没有责任,因为受害者是自愿向未经公司授权的人付款的。
对受害者来说,英国资讯委员会的让步和没有诚意的罚款令人失望。同时,面对那些无动于衷的准自治非政府组织,受害者感到无力且恐惧,因为这些组织本该保护客户的利益,如今却不断回避。我和一名受害者谈过,他对英国资讯委员会谨慎地回避法律责任的行为感到愤怒,但是该受害者拒绝透露自己的姓名。他担心自己的话可能会被英国资讯委员会用于对付那些试图组织集体诉讼的人,因为他们无法确定客户的数据确实是TalkTalk泄露的。这也揭露了这场黑客游戏的规则,并提醒所有的黑客和受害者:尽管黑客和受害者都输掉了游戏,但被黑的公司却还能继续远航。