SportAdmin er et svensk skybasert system som idrettslag i Skandinavia bruker til å administrere medlemmer, aktiviteter og betalinger. I januar 2025 ble systemet hacket. Angriperen fikk tilgang til data om 2,1 millioner personer — de aller fleste barn og ungdom. Navn, kontaktopplysninger, personnummer, hvilken idrett de drev med og hvilket lag de tilhørte. I tillegg helseopplysninger og i noen tilfeller informasjon om personer med skjult adresse. Alt ble publisert på Darknet.
Det svenske datatilsynet IMY fant at SportAdmin ikke hadde tilstrekkelig sikkerhet for dataene de behandlet. Selskapet manglet systemer for å oppdage inntrengning i sanntid. IMY fant også at SportAdmin var kjent med sikkerhetssårbarheter og forhøyet risiko før bruddet — men ikke hadde handlet tilstrekkelig.
Boten ble 6 millioner svenske kroner.
Praktisk poeng: Bruker organisasjonen din et skybasert system for medlemsdata — spesielt om barn? Spør leverandøren om tre ting — har de intrusjonsdeteksjon, når ble siste sikkerhetsrevisjon gjennomført, og hva er rutinen for å varsle dere ved en hendelse. Svarene forteller deg om dataene er godt nok beskyttet.
Inspirert av: IMY