Linus Larsson: Detta vet vi om Sportadmin-läckan

Vad har hänt?

Sportadmin är en app som används av idrottsföreningar för medlemsregister, kallelser till träningar och liknande. I mitten av januari utsattes den för ett stort dataintrång. Omfattningen är oklar men 1,1 miljoner användare i 1 700 föreningarna är aktiva medlemmar i Sportadmin.

I veckan berättade en kriminell hackargrupp att den ligger bakom intrånget, att den har kommit över en mängd personuppgifter från Sportadmins databas. En mindre del av den stulna informationen har lagts ut, som bevis för vad den har tillgång till.

Gruppens syfte är att utpressa Sportadmin på pengar, och eftersom den inte har fått något så hotar den läcka alltihop. Till en början sattes tidsfristen till lunch på söndagen, men senarelades utan förklaring.

I det gruppen hittills har publicerat syns bland annat barn med skyddade personuppgifter, vilket kan betyda att de lever under hot. Även en svensk toppolitiker har drabbats, vilket DN tidigare har rapporterat.

Kommer mina uppgifter läcka?

Om du har registrerat dig eller dina barn i Sportadmin bör du utgå från det. För många spelar det kanske ingen större roll, men för de med skyddade personuppgifter och hemliga adresser kan det vara mycket allvarligt. Eftersom Sportadmin också hanterar kallelser kan läckan komma att avslöja var och när barnet har sina träningar.

Vad ska jag göra om jag är drabbad?

Föreningarna ska redan ha kontaktat sina medlemmar med information om det som har hänt. Sportadmin uppmanar drabbade som lever med skyddade uppgifter att kontakta den myndighet som de har haft kontakt med för att skydda uppgifterna.

Varför hände det här?

Utpressningsattacker av cyberkriminella som den mot Sportadmin har varit vanliga länge. De utförs genom att en liga hackar ett företag eller en organisation och tar kontroll över en så stor del som möjligt av offrets servrar och datorer.

Sedan brukar två saker hända: De krypterar system så att de blir låsta och oanvändbara. Dessutom stjäl de så mycket känslig information som möjligt.

Sedan försöker de få kontakt med offret och kräver den på en lösensumma, som kan uppgå till mångmiljonbelopp. Om offret betalar lovar gruppen att låsa upp system och inte läcka någonting. Om betalning uteblir läcker hackargruppen det den har kommit över, i regel via en sajt på darknet, den krypterade och anonymiserade del av internet som de använder.

Sportadmins ägarbolag uppger att de inte har betalat något och inte svarat på ligans kontaktförsök. Det är oklart om Sportadmins system krypterades vid attacken, men gruppen lyckades åtminstone stjäla information.

Det är ovanligt att någon talar öppet om att de har betalat utpressarna, men allt tyder på att grupperna tjänar mycket pengar på sin kriminella verksamhet. Ofta har grupperna sin bas i länder som Ryssland där de oftast kan agera ostört, så länge de bara angriper företag och organisationer i väst.

Vilka ligger bakom?

Gruppen som hotar läcka Sportadmins data kallas Ransomhub och är relativt ny. Den har varit aktiv i runt ett år, och har på den tiden hackat och utpressat en mängd företag.

Det är inte helt klarlagt var gruppen kommer från, men enligt it-säkerhetsföretaget Trend Micro rekryterar gruppen folk att jobba med på ett ryskspråkigt forum. Den har också som regel att inte angripa företag i Kina, Nordkorea, Kuba, Ryssland och ett antal andra tidigare Sovjetstater.

Ransomhubs första steg vid ett intrång är ofta ett telefonsamtal, där de lurar anställda att lämna ifrån sig uppgifter eller på annat sätt släppa in hackarna. Enligt Trend Micro talar personerna som ringer upp engelska med en mycket trovärdig amerikansk accent.

Det råder ingen tvekan om att Ransomhub vet hur känsliga uppgifter den har kommit över från Sportadmin. På sin darknetsajt skriver Ransomhub på engelska varför den har väntat med läckan:

”Vi har väntat eftersom detta är känsliga data såsom små barns personliga och privata information”, skriver gruppen.

Läs mer: Toppolitiker med i läckan från hackade Sportadmin