Alla kommunanställdas personuppgifter i miljonläckan

4700 anställda och tidigare anställda vid Österåkers kommun fick personuppgifter läckta vid cyberattacken mot IT-bolaget Miljödata. Det uppger kommunens personalchef.

Totalt ska nu mer än 1,5 miljoner svenskars personuppgifter finnas på Darknet.

4700 personer – alla som varit eller är anställda sedan 2017 i Österåkers kommun, samtliga månadsanställningar. Så många fick sina personuppgifter läckta vid cyberattacken mot kommunens IT-leverantör Miljödata.

Det uppger Malin Hansson, HR-chef och medlem i Österåkers ledningsgrupp, sedan kommunen fått bekräftat att hackerattacken mot Miljödata dessvärre lyckades.

– Vi som arbetsgivare ser allvarligt på det som hänt. Som arbetsgivare och anställd ska man känna sig trygg, därför anser vi att det är allvarligt när uppgifter läcker ut, säger hon.

Intrånget i Miljödata upptäcktes i slutet av augusti. Sedan dess utreds händelsen av både av polis och externa specialister.

Enligt senior åklagare Sandra Helgadottir, som leder förundersökningen, har uppgifter om mer än 1,5 miljoner privatpersoner läckts. Främst handlar det om uppgifter från kommuner och regioner som anlitat Miljödatas tjänster, men även privata arbetsgivare finns med i läckan. Händelsen utreds som grovt dataintrång och försök till grov utpressning och enligt Sandra Helgadottir finns det inget i nuläget som tyder på att främmande makt är inblandad.

Krävde lösensumma

Enligt åklagaren har en hackergrupp som kallar sig för Datacarry tagit på sig attacken och hotat att publicera data om de inte fick en lösensumma. På söndagen, 14/9, ska materialet ha publicerats på Darknet, enligt en cybersäkerhetsexpert som SVT talat med.

Enligt Österåkers kommun finns de läckta uppgifterna i Miljödatas system Adato som används för att administrera sjukfrånvaro och rehab för anställda – men inte förtroendevalda politiker.

Uppgifterna som läckt omfattar anställdas namn, personnummer och adresser. Dessutom kan telefonnummer och e-postadresser finnas med, enligt Malin Hansson.

Utöver det har systemet haft uppgifter om anställningsdatum, hur många sjukdagar med sjukpenning en person haft under de senaste 450 dagarna.

Har individers orsak till sjukskrivning läckt?

– Nej. Informationen vi fått från vår leverantör är att det inte ingår detaljer om hälsa, läkarintyg eller orsak.

Enligt vad hon fått veta ska heller inga uppgifter om enskildas rehabilitering ha läckt.

Har berörda hört av sig till er med frågor? 

– Det har varit någon enstaka, men då har vi förtydligat vilka uppgifter det rört sig om. Min upplevelse är att personerna då känt sig lugnare.

Expert varnar drabbade

När det gäller beskedet att även skyddade personuppgifter kan ha läckt säger Malin Hansson att Österåker hanterat detta enligt sina rutiner och att adresser inte ska vara röjda.

Tidigare har kommunen varnat för att läckta uppgifter i värsta fall kan innebära ”en risk för exempelvis skadat anseende, identitetsstöld eller bedrägeriförsök”.

Till SVT säger Karl Emil Nikka, IT-säkerhetsspecialist på Stöldskyddsföreningen att personer som omfattas av läckan riskerar att bli kontaktade av utomstående.

Syftet kan då vara att ”lura dem att ge ut fler uppgifter, för att sedan komma åt andra system”.

Om kommunen eller enskilda personer kan ha rätt till kompensation för det inträffade har Malin Hansson inga uppgifter om.

– Det har inte diskuterats i den grupp som hanterat frågan.

Enligt nyhetsbyrån Newsworthy har drygt 400 personer i den läckta datan adress i Vaxholm.

Kommuner i Stockholms län som drabbat av cyberattacken

Järfälla

Huddinge

Salem

Sollentuna

Solna

Stockholms stad

Sundbyberg

Södertälje

Täby

Österåker

Källa: SVT, Mitt i

Alla anställda i Österåkers kommun fick personuppgifter läckta.

Fredrik Sjöquist

Cyberattacken kom åt uppgifter om alla kommunanställda

Uppgifter om Österåker kan finnas på Darknet ✔ 1,5 miljoner personer i läckan ✔ Expert varnar