En miljon svenskars personuppgifter har läckt ut på nätet. Uppgifterna kommer från företaget Miljödata som levererar HR-system till de flesta av Sveriges kommuner – alltså system med information om anställda.
De läckta uppgifterna har nu på söndagen publicerats på darknet, uppger SVT. Det innebär att många personer kan komma åt dem.
En relativt ny hackargrupp som kallar sig för Datacarry har tagit på sig ansvaret både för cyberattacken och publiceringen.
Det stulna datamaterialet omfattar bland annat personnummer, telefonnummer, adress, anställnings-id och uppgifter om sjukledigheter.
Det gäller nuvarande och tidigare anställda vid många kommuner och regioner – till exempel Stockholms stad och Region Skåne.
Leif Nixon, som är senior säkerhetsexpert på teknik- och konsultbolaget Combitech i Sverige tonar ned allvaret med läckan i en intervju med Svenska Yle.
– Det är allvarligt att det har kunnat inträffa, men det hade kunnat vara mycket värre. Den absolut största delen av uppgifterna är offentliga uppgifter som man kan ta reda på om vem som helst, säger Nixon.
Han påpekar att till exempel personnummer är offentliga i Sverige.
Men han tillägger att dataläckan gör det lätt att få tillgång till många olika uppgifter om en person.
Och det gör det lättare för bedragare att lura de personer som ingår i läckan, vilket innebär att de drabbade nu borde vara extra försiktiga, särskilt med oväntade eller brådskande kontaktförsök, säger Nixon.
– Det finns en risk att man kan lura folk med nätfiske på ett mer riktat sätt. Om man vet att en viss person med vissa uppgifter har varit sjuk i ett visst antal dagar under en viss period, så kan man framstå som mer trovärdig när man kan presentera det.
En angripare kan alltså lura till sig mer uppgifter med hjälp av de läckta uppgifterna. Informationen kan också användas för att lättare bryta sig in i fler it-system.
Har du någon uppfattning om vad den här dataläckan berodde på?
– Det har funnits väldigt lite uppgifter om hur intrånget egentligen gick till. Men oftast beror det på att ägaren av tjänsten har gjort något misstag. Man har inte uppdaterat någon viktig enhet eller haft någon form av läcka av lösenord eller så, säger Leif Nixon.
Enligt medieuppgifter hade hackargruppen Datacarry krävt 1,5 bitcoin som lösensumma – vilket i dag motsvarar knappt 150 000 euro – för att inte läcka informationen.
Myndigheter brukar ändå avråda företag från att betala hackare i sådana här fall, för att inte uppmuntra kriminella till fler cyberattacker.