Hackare har läckt källkod från statligt it-system på darknet
Foto: AI-genererad illustration
Hackergruppen ByteToBreach uppges ha stulit och publicerat källkoden till Sveriges e-förvaltningsplattform på darknet, efter ett intrång hos it-konsultbolaget CGI Sverige på torsdagskvällen. Läckan bekräftas nu av Cert-SE.
Intrånget ska ha gett gruppen tillgång till källkod, lösenord och krypteringsnycklar kopplade till den plattform som svenska myndigheter, bland annat Skatteverket, använder för digitala tjänster och inloggning med Bank-ID. Uppgifterna rapporteras av Expressen och Dagens Nyheter.
Databaser med personuppgifter säljs separat
Läckan är omfattande. Enligt sajten Darkwebinformer, som bevakar aktivitet på darknet, uppger ByteToBreach att de kommit åt hela källkoden till e-förvaltningsplattformen, inte bara konfigurationsfiler. Källkoden ska ha gjorts tillgänglig för gratis nedladdning, medan databaser med personuppgifter om svenska medborgare och elektroniska signeringsdokument säljs separat.
Bland det stulna materialet uppges även konfigurationer för en e-signatursportal ingå.
Cybersäkerhetsorganisationen International Cyber Digest beskriver läckan på X som en "allvarlig exponering" av de identitets- och säkerhetssystem som driver Sveriges digitala statsförvaltning.
IT-säkerhetsexperten Anders Nilsson bedömer att uppgifterna stämmer.
– Källkod till flera program verkar finnas, och vad jag kan se så ser hacket äkta ut, skriver han i ett mejl till SVT Nyheter.
Cert-SE: rör testservrar som inte används i produktion
Cert-SE, som arbetar under Myndigheten för civilt försvar, bekräftar på fredagsmorgonen att en incident har inträffat.
– Händelsen rör två interna testservrar i Sverige som inte används i produktion och används för testning kopplad till ett begränsat antal kunder, säger Gustaf Nilsson, presstalesperson för Cert-SE, i ett uttalande till Expressen.
Han uppger också att ett system med en äldre version av källkoden till en applikation ska ha varit åtkomligt för gruppen. CGI Sverige hade inte kommenterat uppgifterna när Dagens Nyheter sökte bolaget under natten.
ByteToBreach är sedan tidigare känd inom cybersäkerhetskretsar. Gruppen kopplas till ett intrång mot Viking Line, där uppgifter om passagerare publicerades nyligen. Ett inlägg om det aktuella intrånget, med uppgifter om hur det genomfördes, har enligt DN publicerats på ett stort internetforum för cyberkriminella.
Cert-SE arbetar nu vidare med att utreda incidentens omfattning och konsekvenser för de myndigheter som använder plattformen.
