Sportadmin – en plattform som används av 1700 föreningar i Sverige för att hantera scheman och mejllistor bland annat – är perfekt för kriminella som vill lura in folk i bedrägerier, enligt Karl Emil Nikka, it-säkerhetsspecialist på SSF Stöldskyddsföreningen.
“Sammanställningen av personuppgifter gör det möjligt att utföra pricksäkra nätfiskeattacker mot utvalda personer”, säger han till Dagens Nyheter.
I mitten av januari hackade den kriminella hackergruppen Ransumhub Sportadmins app och hotade efter det under en period att läcka stora mängder data, inklusive föräldrar och barns personuppgifter.
Och den 14 mars gjordes just det – namn, diagnoser, skyddade identiteter, privata nummer och mejladresser lades ut på darknet.
Enligt DN, som analyserat materialet, finns minst två miljoner enskilda personer med i läckan – som antas vara den största i Sverige hittills. Bland dessa två miljoner finns över 3500 med markeringen “skyddade personuppgifter”.
Ur databasen: “Har skyddade uppgifter! OBS!”
Breakit har tagit del av delar av den läckta datan. Bland uppgifterna kan det i dessa fall se ut såhär:
“Om vuxen behöver kontaktas ska ni ringa moder. Om moder inte svarar kan ni ringa till personal på skyddat boende (nummer)”
“Har skyddade personuppgifter! OBS! INGA BILDER FÅR DELAS ELLER LÄGGAS UT PÅ SOCIALA MEDIER”
“Både mamma och son har skyddade identiteter. Riktigt namn är (namn)”
Riksorganisationen för kvinnojourer och tjejjourer (Roks) uppger för DN att läckan lett till att skyddade kvinnor tvingats flytta.
“Vi har fått indikationer från våra jourer om att det har funnits kvinnor på den här listan som har fått bryta upp sina liv. De gjorde det redan innan läckan hade skett, så snart det fanns en risk”, säger Roks ordförande Adine Samadi till DN.
Inte gallrats på 20 år
Personuppgifter får enligt dataskyddsförordningen GDPR inte sparas längre än nödvändigt. Men enligt DN:s granskning verkar ingen gallring av uppgifter ha skett, åtminstone inte i delar av databasen. Vissa personuppgifter har legat kvar i upp till 20 år, trots att användaren har slutat använda kontot.
“Egentligen bör konton tas bort direkt om de inte längre är aktiva. Sedan kan man tillåta en viss period före radering. Det kan vara några månader, kanske något år. Men de ska absolut inte lagras i 20 år”, säger Caroline Sundberg, advokat på byrån Snellman, till DN.