I januari 2025 drabbades Sportadmin, en populär applikation för idrottsföreningar, av ett allvarligt dataintrång som exponerade personuppgifter för runt två miljoner medlemmar. Denna artikel ger en omfattande översikt av händelsen, dess påverkan och rekommenderade åtgärder för drabbade föreningar och medlemmar. Sportadmin ägs och drivs av börsnoterade Lime Technologies.

Vad är Sportadmin?

Sportadmin är en administrativ tjänst som används av cirka 1 700 idrottsföreningar i Sverige. Applikationen underlättar hanteringen av medlemsregister, närvaroregistrering, schemaläggning och kommunikation inom föreningar. Genom att samla in och lagra information såsom personnummer, adresser och kontaktuppgifter, spelar Sportadmin en central roll i föreningarnas dagliga verksamhet.

Vad hände under dataintrånget?

I mitten av januari hackade den kriminella hackergruppen Ransumhub Sportadmins app och hotade efter det under en period att läcka stora mängder data, inklusive föräldrar och barns personuppgifter. Som en omedelbar åtgärd stängdes systemet ner för att förhindra ytterligare skada. Företaget bekräftade senare att data hade läckt, men den exakta omfattningen var initialt okänd. Den 14 mars lades namn, diagnoser, skyddade identiteter, privata nummer och mejladresser ut på darknet.

Vilka uppgifter har läckt ut?

De uppgifter som potentiellt kan ha komprometterats inkluderar:

  • Personnummer: Unika identifierare för medlemmar.

  • Adresser: Bostadsadresser till medlemmar.

  • Telefonnummer och e-postadresser: Kontaktuppgifter som används för kommunikation inom föreningen.

  • ​Skyddade personuppgifter och medicinska diagnoser. 

Denna information är känslig och kan, om den hamnar i fel händer, användas för bedrägerier, identitetsstöld eller annan kriminalitet.

Hur påverkas idrottsföreningarna?

Dataintrånget har haft betydande konsekvenser för de drabbade föreningarna:

  • Driftstörningar: Många föreningar har upplevt avbrott i sina administrativa processer, inklusive svårigheter att kommunicera med medlemmar och hantera schemaläggning.

  • Säkerhetsoro: Föreningar måste nu hantera potentiella säkerhetsrisker för sina medlemmar och vidta åtgärder för att skydda deras information.

Vilka åtgärder har vidtagits efter intrånget?

Efter upptäckten av dataintrånget har följande åtgärder implementerats:

  • Systemnedstängning: Sportadmin stängde omedelbart ner sina tjänster för att begränsa skadan och påbörja en säkerhetsgenomgång.

  • Polisanmälan: Händelsen har rapporterats till polisen för vidare utredning.

  • Anmälan till Integritetsskyddsmyndigheten (IMY): I enlighet med dataskyddsförordningen (GDPR) har incidenten anmälts till IMY. Ärendet är fortsatt föremål för granskning och potentiell sanktion för Sportadmin.

  • Information till föreningar: Sportadmin har kommunicerat med de drabbade föreningarna och rekommenderat dem att vara extra vaksamma på kontaktförsök från okända e-postadresser eller telefonnummer.

Hur kan medlemmar skydda sig?

Medlemmar i de drabbade föreningarna bör vidta följande försiktighetsåtgärder:

  • Var vaksam på kommunikation: Var uppmärksam på oväntade e-postmeddelanden, telefonsamtal eller sms, särskilt de som ber om personlig information eller innehåller länkar.

  • Kontrollera kontoutdrag: Övervaka bankkonton och kreditkort för att upptäcka obehöriga transaktioner.

  • Uppdatera lösenord: Om samma lösenord används på flera tjänster, överväg att byta till unika och starka lösenord för varje tjänst.

Dessa steg kan hjälpa till att minska risken för ytterligare säkerhetsproblem relaterade till det aktuella dataintrånget.

Vad säger Sportadmin om händelsen?

Sportadmin har uttryckt sin oro över incidenten och arbetar aktivt för att lösa situationen. De har tagit in extern expertis för att stärka säkerheten och återställa tjänsterna. Företaget har också betonat vikten av transparens och lovat att hålla föreningar och medlemmar informerade om utvecklingen.

Sammanfattning

Hackerattacken mot Sportadmin har belyst vikten av robusta säkerhetsåtgärder inom digitala tjänster som hanterar känslig information. Idrottsföreningar och deras medlemmar uppmanas att vara proaktiva i att skydda sin personliga information och vara medvetna om potentiella risker. Genom samarbete och ökad medvetenhet kan liknande incidenter förhoppningsvis förhindras i framtiden.