Integritetsskyddsmyndigheten, IMY, är nu färdig med sin granskning av dataintrånget mot Sportadmin, där personuppgifter om över två miljoner personer stals och publicerades på darknet. Kritiken är skarp: Företaget hade stora brister i sin säkerhet, vilket möjliggjorde och förvärrade intrånget, slår myndigheten fast.
En straffavgift på 6 miljoner kronor ska därför betalas, eftersom tjänsten inte hade så bra säkerhet som dataskyddsreglerna i GDPR kräver.
– IT-angrepp och dataläckor går aldrig helt att utesluta, men man är skyldig att ha en säkerhetsnivå anpassad till de personuppgifter man hanterar. Sportadmin har inte haft det och det har funnits en passivitet i att hantera kända risker, säger Eric Leijonram, generaldirektör på IMY, i ett uttalande.
Drygt 2,1 miljoner personer fick sina uppgifter läckta. Eftersom Sportadmin är en app som används av idrottsföreningar är många av dem barn. Som DN tidigare har rapporterat fanns där även många med skyddade personuppgifter, högt uppsatta politiker och andra personer på känsliga positioner. Även kungafamiljen drabbades – i materialet framgick Prins Carl Philips hemliga alias på nätet, hans e-postadress och konto på en löpartjänst som visade exakt var och när han brukade motionera.
Attacken gjordes i utpressningssyfte, en så kallad ransomware-attack. De utförs av kriminella grupper som vanligtvis hackar system, låser dem med kryptering och stjäl data som den hotar att läcka. Sedan kräver de offret på pengar för att låsa upp systemen och för att inte läcka informationen. I fallet med Sportadmin tycks filerna dock inte ha krypterats, utpressningen byggde helt på hotet om att läcka stulen information. Sportadmin har hela tiden sagt att de inte har betalat utpressarna några pengar.
IMY:s granskning visar på mycket allvarliga brister i Sportadmins it-säkerhet. ”Sportadmin inte i tillräcklig utsträckning har vidtagit lämpliga tekniska och organisatoriska åtgärder i förhållande till de risker som förelegat för dataintrång”, skriver myndigheten i sitt beslut.
Intrånget tycks ha utförts genom en hackarmetod som har varit känd sedan 1990-talet, där angriparen använder webbforumulär för att lura de bakomliggande systemen. Ett tekniskt misstag när ett formulär på en av Sportadmins webbplatser ändrades sommaren 2022 är troligtvis det som möjliggjorde intrånget. Men detta upptäcktes inte förrän intrånget skedde tre år senare.
Felaktiga inställningar gjorde det än värre – när angriparna väl hade lurat systemet kunde de komma åt en enorm mängd data.
IMY drar därför slutsatsen att attacken kunde ske delvis för att Sportadmins system var väldigt gamla, och därför inte använde sig av flera mer moderna säkerhetsinställningar.
I en skriftlig kommentar säger Sportadmins vd Hanna Lerenius att hon beklagar intrånget och fortsätter: ”Vi analyserar nu IMYs kommunikation för att kunna vidta relevanta åtgärder.”
