Gigantisk datalekkasje rammer svensk kongehus

En av de største kjente datalekkasjene i Sverige har nå blitt offentliggjort, og den rammer både privatpersoner, toppolitikere og det svenske kongehuset.

Over to millioner brukere er berørt etter at hackergruppen Ransomhub fikk tilgang til Sportadmin – en digital administrasjonsplattform som brukes av mer enn 1700 idrettsforeninger i Sverige.

Lekkasjen inkluderer personopplysninger, e-postadresser, brukernavn, meldingsdata og geografisk informasjon – inkludert sensitive metadata fra treningsøkter.

Les også: Ny hackertrussel rammer iPhone-brukere: Omgår sikkerhetsfunksjonen

Prinsens alias og posisjonsdata eksponert

Blant de mest profilerte ofrene er prins Carl Philip.

Ifølge Dagens Nyheter er hans tidligere hemmelige nettalias avslørt, i tillegg til en anonym e-postadresse og detaljerte treningskart fra Stockholm-området. Et av kartene viser blant annet en syv kilometer lang joggetur gjennom byens grøntområder, skriver Dagens.no.

Slik informasjon gir innsikt i både bevegelsesmønstre og oppholdssteder – data som potensielt kan misbrukes til overvåkning, utpressing eller i verste fall fysisk sikkerhetstrusler.

Det er også lekket informasjon om en nylig utenlandsreise, samt data fra en meldingsplattform der prinsen brukte pseudonym.

Metadata: en undervurdert risiko

Ifølge etterretningsforsker Tony Ingesson ved Lunds universitet, representerer denne typen lekkasjer en sikkerhetsrisiko.

«Informasjonen kan være nyttig for en etterretningstjeneste på flere måter», sier han til Dagens Nyheter.

Sikkerhetskonsulent Dick Malmlund påpeker hvor vanlig slike spor er – og hvor viktig det er å rydde dem bort.

«Første dagen når jeg får en klient så rydder vi bort slike opplysninger», sier han i samme artikkel.

Disse sitatene understreker en viktig trend innen cybersikkerhet: det er ikke bare brukernavn og passord som er verdifulle – metadata om lokasjon, aktivitet og vaner kan være minst like farlige i feil hender.

Ransomhub: kjent aktør i ransomware-miljøet

Gruppen som står bak angrepet, Ransomhub, er kjent for såkalte «double extortion»-strategier. Det betyr at de ikke bare krypterer og låser data for utpressing, men også truer med å publisere sensitiv informasjon hvis kravene ikke innfris.

Sportadmin nektet å betale løsepenger, og kort tid etter ble dataene lastet opp til det mørke nettet – fritt tilgjengelig for alle med kjennskap til hvor de skal lete.

Politisk og konstitusjonell risiko

Angivelig er kontaktopplysninger til minst 80 nåværende og tidligere riksdagsmedlemmer og flere svenske regjeringsmedlemmer lekket.

Det reiser spørsmål om hvorvidt offentlige myndigheter og ledere i Sverige har tilfredsstillende digital sikkerhet i sine private og semiprivate digitale verktøy.

Sportadmin har i utgangspunktet vært en lavterskeltjeneste, brukt av foreldre og barn til å administrere treningsøkter og medlemskap i idrettslag. Men mengden data og funksjonene i appen – inkludert meldinger og lokasjonsbasert aktivitet – gjør den til et åpenbart mål for trusselaktører.

Les også: Hva er Signal? – meldingsappen som er helt privat

Kongehuset og myndighetene reagerer

Det svenske hoffet har bekreftet at de er kjent med lekkasjen. Kommunikasjonssjef Johan Tegel skriver i en uttalelse til Dagens Nyheter:

«Kongehusets sikkerhetsavdeling er kjent med opplysningene og har samarbeidet med relevante myndigheter. Siden dette er et sikkerhetsspørsmål, ønsker vi ikke å kommentere saken ytterligere.»