Den 16 januari hackade en ökänd cyberkriminell grupp appen Sportadmin, som används av 1 700 föreningar i Sverige för medlemslistor, scheman samt kallelser till träningar och matcher.
Snart riktades ett hot mot företaget bakom appen: Betala oss, annars läcker vi hela den stulna databasen på darknet.
Nu har det skett. Och läckan är minst så omfattande och känslig som man kunde frukta.
Medlemsdatabasen, som bara utgör en del av läckan, innehåller 3,6 miljoner rader där varje rad motsvarar en registrerad person, i många fall ett barn. Vissa av dessa är dubbletter, men minst två miljoner enskilda personer figurerar. De flesta är registrerade med personnummer, namn, adresser, namn på föräldrar och föräldrarnas kontaktuppgifter.
En sådan databas är exakt vad kriminella behöver för att lura in folk i bedrägerier eller lura av dem lösenord. Det säger Karl Emil Nikka, it-säkerhetsspecialist på SSF Stöldskyddsföreningen som har följt händelserna efter intrånget.
– Sammanställningen av personuppgifter gör det möjligt att utföra pricksäkra nätfiskeattacker mot utvalda personer. Utpressarna var själva medvetna om detta, säger han.
– När utpressarna försökte sälja de stulna uppgifterna poängterade de att uppgifterna var värdefulla för angripare som ville utföra bedrägerier och nätfiskeattacker.
Vissa uppgifter är okänsliga och kan hittas via öppna katalogtjänster på nätet. Men långt ifrån alla. I databasen finns över 3 500 användare med markeringen skyddade personuppgifter.
Det är en väsentlig del av de knappt 34 000 personer som har sådant skydd i Sverige. En stor del av dessa är kvinnor, och deras barn, som har lämnat en våldsam relation.
Delar av databasen innehåller kommentarer, skrivna av föräldern, med tydliga tecken på att de lever under hot:
”Endast mamma [namn] som får lov att hämta”, har någon fyllt i.
”OBS: Skyddad id! Får ej fotograferas!” skriver en annan.
En tredje gör tydligt vem som utgör hotet: ”Skyddad ID från pappa”
En förälder varnar angående sitt barn: ”Får inte synas någonstans. Inte på bild eller med namn.”
Andra kan ha skydd för att en förälder har ett känsligt arbete, exempelvis vissa åklagare och politiker. Ett barn, vars förälder har en högt uppsatt roll inom rättsväsendet, skriver att uppgifterna är skyddade på grund av ”pappans jobb”.
Vissa av de med skyddade uppgifter har låtit bli att registrera adresser och annat i appen. Andra tycks ha litat på att Sportadmin skulle hålla informationen skyddad och har knappat in allt.
Men även i de fall adresser inte framgår, så syns vilken klubb och grupp barnet tränar i, och det är enkelt att lägga pusslet för att se var och när träningar äger rum.
Enligt Roks, Riksorganisationen för kvinnojourer och tjejjourer, har det redan lett till att hotade kvinnor har tvingats flytta.
– Vi har fått indikationer från våra jourer om att det har funnits kvinnor på den här listan som har fått bryta upp sina liv. De gjorde det redan innan läckan hade skett, så snart det fanns en risk, säger Roks ordförande Adine Samadi.
– Kvinnor med skyddade personuppgifter är så hotade att de behöver leva ett helt annat liv för att inte riskera att bli mördade. De ansvarar för sitt eget skydd så oron att deras uppgifter röjs finns alltid där.
En lång rad barn får sina diagnoser beskrivna: ”Har autism”, står om ett barn. ”Lätt utvecklingsstörning”, står om ett annat. För ett framgår att pappan avled nyligen och ett beskrivs ha ”svår intellektuell nedsättning samt svår autism”.
Den som ögnar igenom listan hittar snabbt bekanta namn. Bland annat en av Sveriges mest kända företagstoppar, med adress, kontaktuppgifter och namn på barn.
Den jättelika läckan väcker också frågor om hur databasen har hanterats. En viktig del i dataskyddsförordningen GDPR är att personuppgifter inte får sparas längre tid än nödvändigt. Till exempel ska ett företag gallra uppgifter om kunder när de inte längre behövs.
En sådan gallring har av allt att döma inte skett, åtminstone inte i delar av Sportadmins databas. Där finns personer som registrerades så tidigt som 2005 och tycks ha slutat använda sitt konto kort därefter. Ändå finns alla uppgifter kvar: Namn, adresser och personnummer.
Ett exempel: Ett tiotal barn registrerades i en gymnastikförening i södra Sverige år 2005, när de var mellan fem och tio år gamla. Deras konton tycks ha slutat användas samma år. Ändå ligger de kvar i databasen, 20 år senare.
En namngiven pojke, även han gymnast, registrerades i januari 2006, men slutade enligt en anteckning bara några månader senare. Men 19 år senare syns hans uppgifter.
I databasen finns också över 1 200 personer som är markerade som döda. ”Avliden”, står det vid en man född 1934, vars konto senast bekräftades 2007 men alltså inte har gallrats bort.
GDPR är tydlig på punkten om gallring, säger Caroline Sundberg, advokat på byrån Snellman. Gallring är även särskilt viktigt när det rör barns konton.
– Egentligen bör konton tas bort direkt om de inte längre är aktiva. Sedan kan man tillåta en viss period före radering. Det kan vara några månader, kanske något år. Men de ska absolut inte lagras i 20 år, säger hon.
DN har sökt Nils Olsson, vd på Lime technologies som äger Sportadmin. Han vill inte låta sig intervjuas, utan hänvisar till kommunikationschefen Jennie Everhed, som bara svarar på frågor skriftligt.
Hon betonar att det är föreningarna, inte Sportadmin, som har ansvaret för personuppgifter och därmed även att rensa bort gamla konton.
”Det kan finnas många anledningar till att en person är listad hos en förening”, skriver hon och nämner aktivitetsrapportering och finansiella transaktioner.
”Det är också en generell hållning i många föreningar att medlemskap gäller tills vidare, det vill säga att en medlem i grunden förblir medlem till dess att personen begär utträde.”
Mot bakgrund av det som har hänt, anser ni att ni som företag var mogna att hantera den här mängden känsliga data?
”Tyvärr lever vi, som alla företag, med ett konstant hot om att bli utsatta för cyberattacker. Att kontinuerligt utveckla och förbättra vår it-säkerhet är något som vi arbetar med hela tiden. Trots detta har ett professionellt, kriminellt nätverk lyckats bryta sig in i systemet och stjäla data. Vi har en tydlig bild av vad som har hänt och har givetvis vidtagit ytterligare åtgärder. Vi betonar vikten av att vi som bolag, tillsammans med samhället i stort, fortsätter att göra allt vi kan för att förhindra och bekämpa dessa kriminella angrepp.”
