Viktigt meddelande angående personuppgiftsincident
Publicerad: 2025-02-06 08:58, Uppdaterad 2025-03-19 15:32SportAdmin i Skandinavien AB (SportAdmin) och IF Elfsborg informerar genom detta meddelande dig som registrerad i våra system om en personuppgiftsincident som har inträffat och som kan påverka dig. Vi tar våra roller som personuppgiftsansvariga och personuppgiftsbiträde på största allvar och vill förklara vad som har hänt, hur detta kan påverka dig och vilka åtgärder vi vidtar för att skydda dina uppgifter.
Vad har hänt och vad gör vi för att hantera situationen?
Torsdagen den 16 januari utsattes SportAdmin för ett dataintrång av externa angripare. Vi bedömer att personuppgifter kan ingå i den data som angriparna hade tillgång till, men vi kan inte veta säkert att den har spridits.
SportAdmin har snabbt agerat genom att:Stänga ner, isolera och säkra våra system.
• Polisanmäla incidenten.
• Kontakta relevanta myndigheter, inklusive Integritetsskyddsmyndigheten (IMY) och Myndigheten för Samhällsskydd och Beredskap (MSB).
• Göra en anmälan till IMY om personuppgiftsincidenten.
• Informera föreningarna om situationen och uppmana föreningarna (i egenskap av personuppgiftsansvariga) att ansluta sig till vår IMY-anmälan.
• Samla ett incidenthanteringsteam.
• Påbörja en grundlig undersökning av incidenten tillsammans med interna och externt anlitade IT-säkerhetsexperter.
• Successivt och säkert återetablera access till tjänsterna.
• Arbeta med interna och externa IT-säkerhetsexperter för att ytterligare stärka våra säkerhetssystem.
• Övervaka våra system för att upptäcka och förebygga ytterligare hot.
Vilka uppgifter berörs?
De uppgifter som kan ha exponerats är all information om dig som finns i SportAdmins system, beroende på din relation till IF Elfsborg. Främst rör det sig om namn, personnummer och kontaktuppgifter, men det kan också förekomma andra uppgifter.
Vi vill förtydliga att vi inte har fått någon bekräftelse på att dessa personuppgifter har publicerats eller på annat sätt missbrukats, men det kan inte uteslutas.
Hur kan detta påverka dig?
Om de exponerade uppgifterna används av obehöriga kan detta i värsta fall innebära en risk för t.ex. identitetsstöld, bedrägeriförsök eller annan olovlig användning. I dagsläget har vi ingen bekräftelse på att de exponerade uppgifterna har använts av obehöriga.
Vad kan du göra?
• Var särskilt uppmärksam på misstänkta e-postmeddelanden, telefonsamtal eller annan kommunikation som vid första anblick verkar komma från SportAdmin, din förening eller andra betrodda källor. Klicka inte på länkar som inte kan verifieras.
• Vill du ha fler handfasta råd kring hur man som privatperson kan agera vid denna typ av incident rekommenderar vi att besöka MSB:s hemsida. Där finns en sida som heter ”Digital säkerhet” under ”Råd till privatpersoner”.
• Om du misstänker att dina uppgifter har missbrukats, rapportera detta till Polisen omedelbart.
Är du under 18 år?
Om du är under 18 år och har frågor om det här meddelandet, rekommenderar vi att du i första hand pratar med dina föräldrar eller en annan vuxen i din närhet.
Kontakta oss
Om du har några frågor, kontakta IF Elfsborg eller SportAdmin. Vi står till ditt förfogande och vill hjälpa dig på bästa sätt.
Vi beklagar djupt det inträffade och de eventuella olägenheter detta kan orsaka dig. Vi arbetar hårt för att hantera situationen och för att förhindra att något liknande inträffar igen.U
Uppdatering 8 feb 2025
Frågor och svar i nuläget
Vad är det som händer?
Det vi i dagsläget vet är att angriparna kommit över personuppgifter och annan data i det angrepp som inträffade den 16:e januari, något vi hela tiden befarat och agerat utifrån.
SportAdmin samarbetar med polis, andra myndigheter och säkerhetsexperter och utgår ifrån att data kommer att släppas av angriparna inom kort. Den berörda datan är föreningarnas och SportAdmins egendom och det är olagligt att tanka ned, dela eller på annat sätt befatta sig med stulna data.
Vilken data har de kommit åt?
Omfattningen är ännu inte fastställd, men SportAdmin upprepar sitt tidigare antagande om att det sannolikt rör samtliga personuppgifter (vanligen namn, adress, telefon, mail och personnummer) och övrig data som finns i SportAdmins och föreningarnas register.
Vad kan vi som förening säga till de som har skyddade uppgifter?
Vad gäller de personer som har skyddade uppgifter, är det viktigt att de blir informerade om händelsen och hänvisas till den myndighet som hjälpt dem med skyddade uppgifter för vidare rådgivning.
Vad kan jag som individ göra?
Vi upprepar tidigare rekommendationer om att vara extra vaksam, exempelvis på kontaktförsök från okända telefonnummer och e-mail, inte klicka på länkar som inte kan verifieras och liknande. Vill man ha fler handfasta råd kring hur man som privatperson kan agera vid denna typ av incident kan man besöka MSB:s hemsida. Där finns en sida som heter ”digital säkerhet”.
Vad händer nu?
SportAdmin befarar att data kommer att släppas inom kort. Om den stulna datan publiceras kommer vi som förening att bli informerade om detta. De rättsliga åtgärder som krävs när personuppgifter faller i orätta händer, har SportAdmin, tillsammans med föreningarna, redan vidtagit. I ett sådant läge gäller därför samma allmänna rekommendation som nu – var vaksam kring bedrägeriförsök såsom okända telefonsamtal eller mail.
Vi vädjar också till allmänhetens sunda förnuft, att inte ladda ner eller på annat sätt sprida de här uppgifterna för att inte ytterligare förvärra skadan för de som drabbats.
Är det säkert att använda SportAdmins app?
Sedan dataintrånget har SportAdmin satt upp en helt ny produktionsmiljö där funktionalitet successivt släppts på mer och mer. Externa experter har även utfört kodgranskning och penetrationstester för att verifiera säkerheten. SportAdmin gör allt för att förhindra något liknande från att hända igen.
Är det säkert att genomföra betalningar via appen?
SportAdmin använder externa leverantörer till betalfunktioner och de är inte drabbade av dataintrånget.
Vilka ligger bakom intrånget?
SportAdmin har inte varit i direktkontakt med angriparna, i linje med råd från polisen och säkerhetsexperter. Därför kan vi bara hänvisa till pågående polisutredning.
Var kan jag hitta mer information?
SportAdmin kommunicerar löpande om dataintrånget och driftsstatus för tjänsterna på sin statussida. Det finns även en summering av händelsen där det framgår vad som har hänt, vilka åtgärder som vidtagits, samt vad som händer framåt.
Uppdatering 5 mars 2025
Sportadming kan nu dessvärre bekräfta att delar av den data som stulits har publicerats av hotaktören. Sportadmin har inte själva varit i kontakt med hotaktören i enlighet med de direktiv de fått från polis och experter, och vet därför inte mer än så.
Tillsammans med föreningarna har Sportadmin vidtagit alla de rättsliga åtgärder som står till deras förfogande när personuppgifter faller i orätta händer. Sportadmins viktigaste prioritet framåt är att fortsätta stödja föreningarna och deras medlemmar, så att de kan fortsätta sin viktiga verksamhet med att aktivera barn och unga.
Nu är det framförallt ett polisiärt ärende och vi kan bara vädja till allas sunda förnuft, att inte ladda ner eller på annat sätt sprida de här stulna uppgifterna för att inte ytterligare förvärra skadan för de som drabbats.
Uppdatering 14 mars 2025
Vi kan nu dessvärre bekräfta att hotaktören verkställt sitt hot, genom att publicera den data som stals i samband med cyberattacken den 16:e januari.
Eftersom den datamängd som stulits endast utgör en del av den totala datamängden i systemet kommer vi nu att göra en översiktlig analys för att klargöra omfattningen. Som förening bör ni dock fortsatt utgå ifrån att det berör all data som finns i era register. Vi återkommer när vi har mer information.
Genom att anmäla datastölden till polisen och IMY, samt informera berörda personer så att de i sin tur har kunnat vidta försiktighetsåtgärder, har vi, tillsammans med er föreningar, vidtagit alla de åtgärder som står till vårt förfogande.
Nu är det framförallt ett polisiärt ärende och vi kan bara vädja till allmänhetens sunda förnuft, att inte ladda ner eller på annat sätt sprida de här uppgifterna för att inte ytterligare förvärra skadan för de som drabbats.
Återigen – vi beklagar händelsen djupt.
