ATG:s spelares uppgifter läckta på darknet

Efter ett omfattande dataintrång hos travspelsföretaget ATG har känsliga personuppgifter för över 150 000 kunder läckt ut på nätet. Bland de drabbade finns även personer med skyddade personuppgifter, vilket väcker särskild oro kring säkerheten för dessa individer.

Utpressargruppen bakom intrånget har publicerat de stulna uppgifterna, trots att ATG initialt förnekade kännedom om händelsen. Dagens Nyheter har nu kunnat bekräfta att läckan ägt rum och att omfattningen är betydande.

Detta är den senaste i en rad av cyberattacker mot svenska företag. Attacken mot ATG visar på en oroväckande trend där kriminella aktörer specifikt riktar in sig på organisationer som hanterar stora mängder personuppgifter och finansiell information.

Enligt cybersäkerhetsexperter kan denna typ av intrång ofta börja med så kallad ”phishing” – där anställda luras att klicka på skadliga länkar – eller genom att utnyttja sårbarheter i företagets IT-system. När angriparna väl fått tillgång krypteras ofta företagets data, varefter utpressning sker.

”Dataintrång av den här kalibern är särskilt allvarliga när det gäller spelbolag, eftersom de hanterar både personuppgifter och finansiell information,” säger Lisa Andersson, säkerhetsanalytiker vid Internetstiftelsen, i en kommentar till situationen.

För de drabbade kunderna kan konsekvenserna bli allvarliga. Personuppgifter kan användas för identitetsstöld, och för personer med skyddade personuppgifter kan läckan innebära direkta säkerhetsrisker. Särskilt oroande är att uppgifterna nu finns tillgängliga för kriminella aktörer på nätet.

ATG, som har monopol på hästspel i Sverige, är en central aktör på den svenska spelmarknaden. Företaget omsätter årligen miljardbelopp och har en omfattande kundbas. Grundat 1974 ägs bolaget gemensamt av Svensk Travsport och Svensk Galopp, med staten som reglerande part.

Intrånget kommer i en tid då den svenska spelmarknaden genomgår omfattande förändringar. Sedan omregleringen 2019 har konkurrensen ökat markant, med fler aktörer som tävlar om spelkunderna. Detta har ökat pressen på etablerade aktörer som ATG att digitalisera och modernisera sina tjänster, vilket kan skapa nya säkerhetsutmaningar.

Integritetsskyddsexperten Johan Lindberg vid Datainspektionen påpekar att företag som hanterar stora mängder personuppgifter har ett särskilt ansvar: ”Enligt GDPR måste företag vidta lämpliga säkerhetsåtgärder för att skydda personuppgifter. Vid ett dataintrång ska de också utan onödigt dröjsmål informera både myndigheter och de drabbade.”

För ATG kan händelsen få långtgående konsekvenser, både ekonomiskt och förtroendemässigt. Företaget riskerar böter enligt GDPR på upp till fyra procent av den globala årsomsättningen. Dessutom kan kundernas förtroende skadas allvarligt, vilket kan påverka bolagets marknadsposition.

Enligt uppgift arbetar ATG nu intensivt med att kartlägga intrångets omfattning och kontakta berörda kunder. Företaget har också kopplat in IT-säkerhetsexperter för att stärka sina system och förhindra liknande händelser i framtiden.

Det är ännu oklart exakt vilken typ av information som läckt ut, men enligt källor nära utredningen kan det röra sig om namn, personnummer, kontaktuppgifter och i vissa fall även spelhistorik och ekonomiska transaktioner.

Denna incident understryker vikten av robusta cybersäkerhetslösningar inom spelbranschen. Enligt en rapport från Spelinspektionen har antalet rapporterade cybersäkerhetsincidenter inom branschen ökat med över 40 procent under det senaste året.

För konsumenter rekommenderas nu extra vaksamhet. Experter uppmanar ATG-kunder att vara uppmärksamma på misstänkta mejl, SMS eller telefonsamtal som kan vara försök till bedrägeri baserade på de läckta uppgifterna.

Händelsen kommer sannolikt att leda till en bredare diskussion om datasäkerhet inom spelbranschen och kan påskynda införandet av striktare säkerhetskrav från myndigheterna. Spelinspektionen har redan tidigare flaggat för behovet av förbättrade säkerhetsrutiner hos spelbolagen.