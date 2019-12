Under det gångna året läckte det enligt olika sammanställningar sammanlagt 5,3 miljarder poster med olika personuppgifter, men det beror naturligtvis på hur man räknar. I många fall vet man inte hur många personuppgifter som läckt ut, eller så rör det sig om fall där en databas varit exponerad och öppen för vem som helst som känt till adressen, men det är svårt att veta om personuppgifterna i databasen faktiskt kommit på villovägar.

Det gäller inte minst det fall som drabbade oss i Sverige när 2,7 miljoner samtal från 1177 Vårdguiden låg på en öppen server online. Det har aldrig kunnat visas att någon tankat ned eller lyssnat på några av dessa ljudfiler, utöver den handfull som undertecknad sparade och delvis lyssnade på för att kunna säkra bevis och för att förstå vad filerna innehöll.

1177-fallet ledde till flera anmälningar till Datainspektionen, men fallet går även under Patientdatalagen. När detta skrivs pågår fortfarande utredningen hos Datainspektionen.

Globalt sett har det skett flera spektakulära dataläckor eller fall av öppna databaser som funnits tillgängliga för obehöriga. Till denna kategori hör även samlingar av personuppgifter från flera läckor som funnits tillgängliga på den så kallade mörka webben eller andra typer av dolda databaser. Nedan följer en lista över de tio största läckorna, eller potentiella läckorna, som upptäckts under 2019.

Topp tio

1. Företag/organisation: Okänd

Vad hände? De välrenommerade it-säkerhetsforskarna Vinny Troia och Bob Daichenko upptäckte en oskyddad Elasticsearch-server som tillhörde ett icke namngivet företag. Företagets verksamhetsområde var ”databerikning”, vilket kan förklara den enorma mängden personuppgifter.

Antal personuppgifter: 662 miljoner e-postadresser, men inräknat även andra data handlade det om personuppgifter tillhörande 1,2 miljarder personer.

Typ av personuppgifter: Sociala medier-profiler, telefonnummer, arbetsgivare, arbetstitlar och e-postadresser.

2. Företag/organisation: Verifications.io

Vad hände? It-säkerhetsforskaren Bob Daichenko var inblandad även i detta fall då han i slutet av mars hittade en oskyddad databas online. Databasen verkar ha tillhört företaget Verifications.io som efter upptäckten stängde ned sin sajt och skenbart upphörde med sin verksamhet.

Antal personuppgifter: 982 miljoner.

Typ av personuppgifter: E-postadresser, namn, kön, arbetsgivare och hemadresser.

3. Företag/organisation: First American

Vad hände? I slutet av maj upptäckte säkerhetsexperter på Krebs on Security att First American Financial Corp, ett Fortune 500-företag inom finanssektorn, exponerade personuppgifter via deras illa säkrade webbsajt. Personuppgifterna låg öppna för alla som visste var man skulle leta och gick bak ända till 2003.

Antal personuppgifter: 885 miljoner.

Typ av personuppgifter: Kontonummer, avtal, uppgifter om amorteringar och skatteuppgifter.

4. Företag/organisation: Collection #1

Vad hände? Den 17 januari upptäckte säkerhetsforskaren Troy Hunt en jättesamling av personuppgifter från tusentals olika läckor så långt bak i tiden som 2008. Det spektakulära låg inte endast i storleken utan även i att samlingen låg på den famösa molnlagringstjänsten MEGA, men databasen fanns också tillgänglig via flera hackerforum, och ingen vet hur många personuppgifter som kommit i orätta händer. Efter upptäckten av Collection #1 hittades även andra liknande samlingar.

Antal personuppgifter: 773 miljoner

Typ av personuppgifter: E-postadresser och 22 miljoner lösenord.

5. Företag/organisation: Facebook

Vad hände? Facebook har tyvärr en lång historia av integritetsproblem, och året som gick var inget undantag. I slutet av mars erkände företaget att de inte hade säkrat lösenorden för hundratals miljoner användare, att de lagrades i klartext och att tusentals anställda hade tillgång till lösenorden.

Antal personuppgifter: 600 miljoner.

Typ av personuppgifter: Lösenord.

6. Företag/organisation: Facebook

Vad hände? Det hann inte gå lång tid efter att det kommit ut att Facebook lagrade 600 miljoner lösenord i klartext innan det var dags igen, I april exponerade Facebook över 540 miljoner av användarnas personuppgifter. It-säkerhetsexperter hittade uppgifterna i en dåligt säkrad publik databas.

Antal personuppgifter: 540 miljoner.

Typ av personuppgifter: Kommentarer, likes, reaktioner, kontonamn med flera data från användare.

7. Företag/organisation: Truecaller

Vad hände? Truecaller är en app som visar vem det är som ringer eller skickar ett sms, även om uppringaren eller användaren inte finns bland de egna kontakterna. Enligt företaget har de inte blivit hackade, utan det handlar om de egna användarna som har kunnat extrahera andra kunders data. Hur som helst hittade it-säkerhetsexperter stora mängder data från Truecallers användare, de flesta i Indien, till salu på den så kallade mörka webben.

Antal personuppgifter: 300 miljoner.

Typ av personuppgifter: Namn, telefonnummer och e-postadresser.

8. Företag/organisation: Zynga

Vad hände? Zynga är ett mycket populärt socialt ordspel, Words With Friends, på både Android och IOS. Så många som en miljard användare har spelat Zynga någon gång. I slutet av september gick Zynga ut officiellt och bekräftade stölden av enorma mängder personuppgifter, som påstås ha utförts av en pakistansk hackare med pseudonymen Gnosticplayers, i vart fall var det hackaren själv som tog på sig stölden.

Antal personuppgifter: 218 miljoner.

Typ av personuppgifter: Namn, e-postadresser, inloggnings-id, lösenord hashade och saltade med SHA-1, tokens för återställning av lösenord i förekommande fall, mobilnummer i förekommande fall, Facebook-identiteter (om användaren valt att logga in med Facebook) och konto-identitet inom Zynga.

9. Företag/organisation: Canva

Vad hände? Canva är ett populärt verktyg för grafisk design som speciellt används mycket av mindre företag och onlinemarknadsförare. I slutet av maj rapporterades det att Canva blivit hackat och att en massa personuppgifter blivit stulna. Som tur är stals inga kreditkortsuppgifter.

Antal personuppgifter: 139 miljoner.

Typ av personuppgifter: Användarnamn, e-postadresser och lösenord.

10. Företag/organisation: Flera nätcasinon: kahunacasino.com, azur-casino.com, easybet.com, och viproomcasino.net – alla på samma server.

Vad hände? Fyra olika nätcasinon lagrade data på samma Elasticsearch-lagring i molnet, utan att säkra data på ett bra sätt.

Antal personuppgifter: 108 miljoner.

Typ av personuppgifter: Namn, bostadsadresser, epost, telefonnummer, användarnamn, födelsedatum, ip-adresser, saldon, vilka spel som spelats, och information om vinster och förluster.

Strax under topp tio

Under 2019 inträffade ett antal läckor som måhända inte var så jätestora i antalet personuppgifter räknat, men där personuppgifterna var av särskilt allvarlig karaktär, eller där företaget är ett vars verksamhet är känslig.

Dow Jones: Den 1 mars blev börshandelsföretaget Dow Jones bestulna 2,4 miljoner personuppgifter. Bland dem ingick personuppgifter från regeringstjänstemän och politiker. Dow Jones hade lagrat personuppgifterna i en öppen databas.

Bulgariens skatteverk. Det bulgariska skatteverket blev hackad på fem miljoner personuppgifter om landets medborgare. Med tanke på att hela befolkningen uppgår till sju miljoner invånare, handlar det alltså om drygt 70 procent av befolkningen. Bland de data som stals ingick personnummer, adresser och uppgifter om inkomst. Hackarna skickade en länk till en nedladdningssida till medier med budskapet att ”Tillståndet för er cybersäkerhet är en parodi”. Utredning pågår i skrivande stundfortfarande.

Singapores blodgivare. Den 15 mars gick Singapores hälsomyndighet HSA ut med att 808 201 individers personuppgifter läckt ut. Dessa personuppgifter gällde bloddonationer och hanterades av företaget Secur Solutions Group. Uppgifterna gällde namn, id-kortnummer, kön och datum för de tre senaste donationerna. I viss fall gällde det även uppgifter om blodgrupp, längd och vikt. Året innan råkade befolkningen ut för en annan dataläcka från sjukvården då patientjournaler, inklusive den singaporianska premiärministerns, läckte ut.

Capital One. En tidigare mjukvaruutvecklare hackade an databas hos Capital One, den tredje största utgivaren av kreditkort i USA. Utvecklaren kom över över 100 miljoner ansökningar om kreditkort, och över en miljon kanadensiska socialförsäkringsnummer. Federala åklagare har utpekat läckan som en av de största i historien av sitt slag, med potentiellt förödande konsekvenser.

1177 Vårdguiden. 2,7 miljoner samtal till det svenska vårdrådgivningsnumret 1177 låg på en öppen server sen 2013. Vårdregionen i Stockholm hade gett i uppdrag till företaget Medhelp att ta hand om samtalen. Medhelp gav i sin tur, i vissa fall, uppdraget vidare till företaget Medicare i Thailand där svenska sjuksköterskor svarade på samtalen. Medicare i sin tur överlät till ett litet it-företag att lagra samtalen på den öppna servern. Till dags dato har det inte kunnat bevisas att samtal läckte ut från den öppna servern.

