רגולטור הפרטיות בבריטניה (Information Commissioner's Office - ICO) הטיל קנס של כ- 70,000 יורו על משרד עורכי דין באנגליה, בעקבות תקיפת סייבר שהובילה לדליפת מידע אישי רגיש ופרסומו ב-Darknet. ה-ICO חשף שורה של כשלים מהותיים מצד המשרד הכוללים בין היתר, היעדר ניהול סיכוני סייבר, כשל בזיהוי התקיפה ואי-עמידה בחובת הדיווח לרשויות בפרק הזמן הקבוע בחוק. 

התוקפים חדרו למערכות המשרד באמצעות חשבון משתמש ישן בעל הרשאות גישה מלאות, שאינו מכיל שכבת הגנה של אימות רב-שלבי (MFA). דרכו הצליחו להשבית את מערכות המשרד ולגנוב כ-32GB של נתונים הכוללים מסמכים משפטיים, תמונות, סרטונים וחומרי ראיות רגישים לרבות תיעוד ממצלמות גוף של שוטרים.    

משרד עורכי הדין דיווח על האירוע רק 43 ימים לאחר שנודע לו על התקיפה, בעוד שפרק הזמן הקבוע בחוק הינו 72 שעות. לטענתו, העיכוב נבע משום שסבר כי מניעת גישה למידע אישי אינה מחייבת דיווח מידי. עוד נמצא שהמשרד הסתמך באופן מוחלט על ספקים חיצוניים לניהול שירותי ה-IT, ללא הפעלת מנגנוני פיקוח או שליטה על תשתיותיו. המשרד אף לא זיהה את התקיפה בעצמו, ועודכן על כך על ידי סוכנות הפשע הלאומי בבריטניה (NCA) שזיהתה את המידע הרגיש ברשת האפלה. מקור:ICO.