Het Londense stadsdeel Hackney werd in 2020 slachtoffer van een ransomware-aanval omdat er een account met een zwak wachtwoord actief was en beveiligingsupdates niet waren geïnstalleerd. Dat blijkt uit onderzoek van de Britse privacytoezichthouder ICO dat een onderzoek naar de aanval instelde. Bij de aanval, die 280.000 inwoners van het stadsdeel raakte, werden 440.000 bestanden versleuteld. Een deel van de data werd ook gestolen en openbaar gemaakt.

Vanwege de aanval waren belangrijke diensten niet voor inwoners toegankelijk. Daarnaast kon het stadsdeel bepaalde betalingen niet ontvangen en uitvoeren, waaronder het uitkeren van huursubsidie. Hierdoor zouden duizenden huurders op straat kunnen belanden, zo beweerde Sky News destijds. Naast het versleutelen van de bestanden wisten de aanvallers ook tien procent van de beschikbare back-up te verwijderen. De aanval vond in oktober 2020 plaats. Sommige van de diensten waren pas in 2022 helemaal hersteld.

De aanvaller bleek op 22 september 2020 toegang tot het netwerk te hebben gekregen via een open Remote Desktop Protocol (RDP) poort. Een netwerk-engineer had de RDP-poort op de firewall geopend. Vervolgens wist de aanvaller vermoedelijk via credential stuffing op een bestaand account in te loggen. Het ging om een account met de gebruikersnaam en wachtwoord 'kiosk', dat in 2005 voor een kioskapparaat was aangemaakt.

Het account werd sinds 2012 niet meer gebruikt en had uitgeschakeld moeten zijn, maar voor onbekende redenen was dat niet het geval. Tevens was het account ten onrechte aangemerkt als 'service account' en uitgezonderd van automatisch uitschakelen. Het wachtwoord voldeed ook niet aan de eisen van het wachtwoordbeleid dat sinds 2012 van kracht was. Doordat er sinds 2012 niet op het account was ingelogd werd ook nooit de beleidsmelding getoond dat het wachtwoord moest worden aangepast aan de nieuwe regels.

Nadat de aanvaller toegang tot het account had gekregen maakte hij op 2 oktober 2020 gebruik van een bekende Windows-kwetsbaarheid (CVE2020-0787) om zijn rechten op het systeem te verhogen. Microsoft had op 10 maart 2020 een update voor dit beveiligingslek beschikbaar gemaakt, maar de patch was niet geïnstalleerd omdat het betreffende systeem niet aan het gebruikte patchmanagementsysteem was toegevoegd.

"Was de relevante patch op het systeem geïnstalleerd had het voorkomen dat de aanvaller via deze manier verhoogde rechten had gekregen en uiteindelijk de data kon benaderen, versleutelen en stelen", aldus de Britse privacytoezichthouder. Die hekelt het systeembeheer bij het stadsdeel. "Iedereen die verantwoordelijk is voor het beschermen van persoonlijke gegevens moet niet dit soort eenvoudige fouten maken, zoals slapende accounts waar gebruikersnaam en wachtwoord hetzelfde zijn. Keer op keer zien we datalekken die niet hadden plaatsgevonden als dit soort fouten waren voorkomen."

Sinds de ransomware-aanval heeft het stadsdeel allerlei maatregelen genomen. Daarnaast hanteert de ICO beleid waarbij het zeer terughoudend is met het opleggen van boetes aan de publieke sector. Het idee hierachter is dat dergelijke boetes met gemeenschapsgeld worden betaald en ervoor zorgen dat de instantie in kwestie minder geld voor het uitvoeren van publieke taken beschikbaar heeft. Als hier geen rekening mee was gehouden had het stadsdeel een boete van omgerekend 1,6 miljoen euro gekregen.