Miljonböter för läckan från Sportadmin

Integritetsskyddsmyndigheten (IMY) har nu slutfört sin granskning av dataintrånget mot Sportadmin, där personuppgifter tillhörande över två miljoner människor stals och publicerades på darknet. Myndighetens slutsats är tydlig och kritisk: företaget hade allvarliga säkerhetsbrister som både möjliggjorde intrånget och förvärrade dess konsekvenser.

Som följd av bristerna har IMY beslutat om en straffavgift på 6 miljoner kronor. Myndigheten konstaterar att Sportadmin inte uppfyllt de säkerhetskrav som ställs enligt dataskyddsförordningen GDPR.

”IT-angrepp och dataläckor går aldrig helt att utesluta, men man är skyldig att ha en säkerhetsnivå anpassad till de personuppgifter man hanterar. Sportadmin har inte haft det och det har funnits en passivitet i att hantera kända risker,” säger Eric Leijonram, generaldirektör på IMY, i ett uttalande.

Dataintrånget drabbade cirka 2,1 miljoner personer, varav många är barn eftersom Sportadmin är en app som används av idrottsföreningar runt om i landet. Enligt tidigare rapportering från Dagens Nyheter omfattade läckan även personer med skyddade personuppgifter, högt uppsatta politiker och andra individer i känsliga positioner.

Även medlemmar ur kungafamiljen drabbades av intrånget. I det läckta materialet avslöjades bland annat Prins Carl Philips hemliga internetalias, hans e-postadress samt information från ett löparkonto som visade exakt var och när prinsen brukade motionera – information som potentiellt skulle kunna utgöra en säkerhetsrisk.

Attacken klassificeras som en så kallad ransomware-attack, där kriminella grupper hackar system och stjäl data i utpressningssyfte. Vanligtvis krypterar angriparna även filerna, men i detta fall byggde utpressningen enbart på hotet om att läcka den stulna informationen. Sportadmin har konsekvent hävdat att de inte betalat någon lösensumma till utpressarna.

IMY:s utredning avslöjar allvarliga brister i Sportadmins IT-säkerhet. Myndigheten skriver i sitt beslut att ”Sportadmin inte i tillräcklig utsträckning har vidtagit lämpliga tekniska och organisatoriska åtgärder i förhållande till de risker som förelegat för dataintrång.”

Det som är särskilt anmärkningsvärt är att intrånget tycks ha genomförts med hjälp av en hackarmetod som varit känd sedan 1990-talet, där angriparen använder webbformulär för att manipulera bakomliggande system. Ett tekniskt misstag som uppstod när ett formulär på en av Sportadmins webbplatser ändrades sommaren 2022 anses ha öppnat vägen för intrånget. Detta säkerhetshål upptäcktes dock inte förrän intrånget skedde tre år senare.

Situationen förvärrades av felaktiga systeminställningar. När angriparna väl lyckats kringgå säkerheten fick de tillgång till en omfattande mängd känslig data. IMY konstaterar att attacken delvis kunde ske på grund av att Sportadmins system var föråldrade och därför saknade flera moderna säkerhetsfunktioner.

Dagens Nyheter uppger att de sökt Lime Technologies, som äger Sportadmin, för en kommentar till IMY:s beslut men har ännu inte fått något svar.

Intrånget mot Sportadmin ägde rum i januari 2025. I mars samma år publicerade hackergruppen bakom attacken den stulna informationen på sin webbplats på darknet, en krypterad och anonymiserad del av internet. Exakt 2 126 075 personers uppgifter finns med i läckan.

Gruppen som genomförde attacken kallas Ransomhub. Deras geografiska hemvist är okänd, men de har observerats rekrytera medlemmar på ryskspråkiga forum. En intressant detalj är att gruppen har en uttalad policy att inte angripa företag i vissa länder, däribland Kina, Nordkorea, Kuba, Ryssland samt flera tidigare sovjetstater, vilket kan ge ledtrådar om gruppens ursprung eller sympatier.

Dataintrånget mot Sportadmin är ett av de största i Sverige på senare tid och visar på vikten av att företag som hanterar personuppgifter upprätthåller en adekvat säkerhetsnivå, särskilt när känsliga uppgifter om minderåriga och skyddade personer finns i systemet.